能力值:
( LV13,RANK:530 )
|
-
-
2 楼
004010CC OEP
004010CC /. 55 push ebp
004010CD |. 8BEC mov ebp,esp
004010CF |. 83EC 44 sub esp,44
004010D2 |. 56 push esi
004010D3 |. FF15 E0634000 call dword ptr ds:[4063E0] ; [GetCommandLineA
004010D9 |. 8BF0 mov esi,eax
004010DB |. 8A00 mov al,byte ptr ds:[eax]
004010DD |. 3C 22 cmp al,22
004010DF |. 75 13 jnz short DNA_记事.004010F4
004010E1 |> 46 /inc esi
004010E2 |. 8A06 |mov al,byte ptr ds:[esi]
004010E4 |. 84C0 |test al,al
004010E6 |. 74 04 |je short DNA_记事.004010EC
004010E8 |. 3C 22 |cmp al,22
004010EA |.^ 75 F5 \jnz short DNA_记事.004010E1
004010EC |> 803E 22 cmp byte ptr ds:[esi],22
004010EF |. 75 0D jnz short DNA_记事.004010FE
004010F1 |. 46 inc esi
004010F2 |. EB 0A jmp short DNA_记事.004010FE
004010F4 |> 3C 20 cmp al,20
004010F6 |. 7E 06 jle short DNA_记事.004010FE
004010F8 |> 46 /inc esi
004010F9 |. 803E 20 |cmp byte ptr ds:[esi],20
004010FC |.^ 7F FA \jg short DNA_记事.004010F8
004010FE |> 803E 00 cmp byte ptr ds:[esi],0
00401101 |. 74 0B je short DNA_记事.0040110E
00401103 |> 803E 20 /cmp byte ptr ds:[esi],20
00401106 |. 7F 06 |jg short DNA_记事.0040110E
00401108 |. 46 |inc esi
00401109 |. 803E 00 |cmp byte ptr ds:[esi],0
0040110C |.^ 75 F5 \jnz short DNA_记事.00401103
0040110E |> C745 E8 00000000 mov [local.6],0
|
能力值:
( LV13,RANK:530 )
|
-
-
3 楼
这个我都不晓得怪归为壳还是算WINRAR 自解压类似的东西哈.
|
能力值:
( LV12,RANK:250 )
|
-
-
4 楼
你是中国人啊?  我以为是老外!!!
|
能力值:
( LV13,RANK:530 )
|
-
-
5 楼
soorry...刚才看英语片。。。情不自禁。
|
能力值:
( LV12,RANK:250 )
|
-
-
6 楼
果然爱学习,向你学习。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
能给出方法吗??谢谢了!
|
能力值:
( LV13,RANK:530 )
|
-
-
8 楼
bp CreateProcessA
然后。。向下跟几步 附加一下OD 或者直接用LoadPE Dump吧
|
能力值:
( LV3,RANK:30 )
|
-
-
9 楼
大侠,我们是菜鸟,能说清楚一点吗
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
我直接用LoadPE搞定了!
但是我不明白foxabu大虾的意思!
他是用一个进程然后在内存中载入另一个进程对吗??
下bp CreateProcessA断点更了一下 他重置目标进程运行环境中的基址 然后重置运行环境中的入口地址 更新运行环境 后执行!
但是好象有效验的地方???
还是不太明白 能说清楚点吗??谢了!
|
能力值:
( LV13,RANK:530 )
|
-
-
11 楼
实质上在它ResumeThread的时候 代码已经解压完毕。相应的主进程也准备退出。。所以此时Dump比较好。
|
|
|
