[求助]今天算是开眼了赶快来求助!-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼 004010CC OEP 004010CC /. 55 push ebp 004010CD \|. 8BEC mov ebp,esp 004010CF \|. 83EC 44 sub esp,44 004010D2 \|. 56 push esi 004010D3 \|. FF15 E0634000 call dword ptr ds:[4063E0] ; [GetCommandLineA 004010D9 \|. 8BF0 mov esi,eax 004010DB \|. 8A00 mov al,byte ptr ds:[eax] 004010DD \|. 3C 22 cmp al,22 004010DF \|. 75 13 jnz short DNA_记事.004010F4 004010E1 \|> 46 /inc esi 004010E2 \|. 8A06 \|mov al,byte ptr ds:[esi] 004010E4 \|. 84C0 \|test al,al 004010E6 \|. 74 04 \|je short DNA_记事.004010EC 004010E8 \|. 3C 22 \|cmp al,22 004010EA \|.^ 75 F5 \jnz short DNA_记事.004010E1 004010EC \|> 803E 22 cmp byte ptr ds:[esi],22 004010EF \|. 75 0D jnz short DNA_记事.004010FE 004010F1 \|. 46 inc esi 004010F2 \|. EB 0A jmp short DNA_记事.004010FE 004010F4 \|> 3C 20 cmp al,20 004010F6 \|. 7E 06 jle short DNA_记事.004010FE 004010F8 \|> 46 /inc esi 004010F9 \|. 803E 20 \|cmp byte ptr ds:[esi],20 004010FC \|.^ 7F FA \jg short DNA_记事.004010F8 004010FE \|> 803E 00 cmp byte ptr ds:[esi],0 00401101 \|. 74 0B je short DNA_记事.0040110E 00401103 \|> 803E 20 /cmp byte ptr ds:[esi],20 00401106 \|. 7F 06 \|jg short DNA_记事.0040110E 00401108 \|. 46 \|inc esi 00401109 \|. 803E 00 \|cmp byte ptr ds:[esi],0 0040110C \|.^ 75 F5 \jnz short DNA_记事.00401103 0040110E \|> C745 E8 00000000 mov [local.6],0 2007-7-8 01:13 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 3 楼这个我都不晓得怪归为壳还是算WINRAR 自解压类似的东西哈. 2007-7-8 01:15 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 4 楼你是中国人啊?我以为是老外!!! 2007-7-8 01:16 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 5 楼 soorry...刚才看英语片。。。情不自禁。 2007-7-8 01:23 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 6 楼果然爱学习，向你学习。 2007-7-8 01:42 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 7 楼能给出方法吗??谢谢了! 2007-7-8 10:14 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 8 楼 bp CreateProcessA 然后。。向下跟几步附加一下OD 或者直接用LoadPE Dump吧 2007-7-8 10:25 0
windtrace 雪币： 4441 活跃值： (805) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 266 粉丝 0 关注私信	windtrace 9 楼大侠，我们是菜鸟，能说清楚一点吗 2007-7-8 20:38 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 10 楼我直接用LoadPE搞定了! 但是我不明白foxabu大虾的意思! 他是用一个进程然后在内存中载入另一个进程对吗?? 下bp CreateProcessA断点更了一下他重置目标进程运行环境中的基址然后重置运行环境中的入口地址更新运行环境后执行! 但是好象有效验的地方??? 还是不太明白能说清楚点吗??谢了! 2007-7-9 00:59 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 11 楼实质上在它ResumeThread的时候代码已经解压完毕。相应的主进程也准备退出。。所以此时Dump比较好。 2007-7-9 15:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼 004010CC OEP 004010CC /. 55 push ebp 004010CD \|. 8BEC mov ebp,esp 004010CF \|. 83EC 44 sub esp,44 004010D2 \|. 56 push esi 004010D3 \|. FF15 E0634000 call dword ptr ds:[4063E0] ; [GetCommandLineA 004010D9 \|. 8BF0 mov esi,eax 004010DB \|. 8A00 mov al,byte ptr ds:[eax] 004010DD \|. 3C 22 cmp al,22 004010DF \|. 75 13 jnz short DNA_记事.004010F4 004010E1 \|> 46 /inc esi 004010E2 \|. 8A06 \|mov al,byte ptr ds:[esi] 004010E4 \|. 84C0 \|test al,al 004010E6 \|. 74 04 \|je short DNA_记事.004010EC 004010E8 \|. 3C 22 \|cmp al,22 004010EA \|.^ 75 F5 \jnz short DNA_记事.004010E1 004010EC \|> 803E 22 cmp byte ptr ds:[esi],22 004010EF \|. 75 0D jnz short DNA_记事.004010FE 004010F1 \|. 46 inc esi 004010F2 \|. EB 0A jmp short DNA_记事.004010FE 004010F4 \|> 3C 20 cmp al,20 004010F6 \|. 7E 06 jle short DNA_记事.004010FE 004010F8 \|> 46 /inc esi 004010F9 \|. 803E 20 \|cmp byte ptr ds:[esi],20 004010FC \|.^ 7F FA \jg short DNA_记事.004010F8 004010FE \|> 803E 00 cmp byte ptr ds:[esi],0 00401101 \|. 74 0B je short DNA_记事.0040110E 00401103 \|> 803E 20 /cmp byte ptr ds:[esi],20 00401106 \|. 7F 06 \|jg short DNA_记事.0040110E 00401108 \|. 46 \|inc esi 00401109 \|. 803E 00 \|cmp byte ptr ds:[esi],0 0040110C \|.^ 75 F5 \jnz short DNA_记事.00401103 0040110E \|> C745 E8 00000000 mov [local.6],0 2007-7-8 01:13 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 3 楼这个我都不晓得怪归为壳还是算WINRAR 自解压类似的东西哈. 2007-7-8 01:15 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 4 楼你是中国人啊?我以为是老外!!! 2007-7-8 01:16 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 5 楼 soorry...刚才看英语片。。。情不自禁。 2007-7-8 01:23 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 6 楼果然爱学习，向你学习。 2007-7-8 01:42 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 7 楼能给出方法吗??谢谢了! 2007-7-8 10:14 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 8 楼 bp CreateProcessA 然后。。向下跟几步附加一下OD 或者直接用LoadPE Dump吧 2007-7-8 10:25 0
windtrace 雪币： 4441 活跃值： (805) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 266 粉丝 0 关注私信	windtrace 9 楼大侠，我们是菜鸟，能说清楚一点吗 2007-7-8 20:38 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 10 楼我直接用LoadPE搞定了! 但是我不明白foxabu大虾的意思! 他是用一个进程然后在内存中载入另一个进程对吗?? 下bp CreateProcessA断点更了一下他重置目标进程运行环境中的基址然后重置运行环境中的入口地址更新运行环境后执行! 但是好象有效验的地方??? 还是不太明白能说清楚点吗??谢了! 2007-7-9 00:59 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 11 楼实质上在它ResumeThread的时候代码已经解压完毕。相应的主进程也准备退出。。所以此时Dump比较好。 2007-7-9 15:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]今天算是开眼了 赶快来求助!

[求助]今天算是开眼了赶快来求助!