[求助]脱Execryptor 2_x二次加密时遇到的很菜的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]脱Execryptor 2_x二次加密时遇到的很菜的问题

发表于: 2007-7-26 11:12 8915

[求助]脱Execryptor 2_x二次加密时遇到的很菜的问题

qintomb

2007-7-26 11:12

8915

根据论坛的教程，我自己脱Execryptor 2_x二次加密的XX网络版软件，
载入时在下面停住：
7C921231 C3             RETN
7C921232 8BFF          MOV EDI,EDI
7C921234 90             NOP
7C921235 90             NOP
7C921236 90             NOP
7C921237 90             NOP
7C921238 90             NOP
7C921239 >  CC             INT3
7C92123A C3             RETN
7C92123B 90             NOP
7C92123C 8BFF          MOV EDI,EDI
7C92123E 90             NOP
7C92123F 90             NOP
7C921240 90             NOP
7C921241 90             NOP
7C921242 90             NOP
7C921243 8B4424 04    MOV EAX,DWORD PTR SS:[ESP+4]
7C921247 CC             INT3
7C921248 C2 0400       RETN 4
7C92124B 90             NOP
7C92124C 90             NOP
7C92124D 90             NOP
7C92124E 90             NOP
7C92124F 90             NOP
7C921250 >  64:A1 18000000  MOV EAX,DWORD PTR FS:[18]
7C921256 C3             RETN
7C921257 90             NOP
7C921258 90             NOP
7C921259 90             NOP
7C92125A 90             NOP
7C92125B 90             NOP
7C92125C >  57             PUSH EDI
7C92125D 8B7C24 0C    MOV EDI,DWORD PTR SS:[ESP+C]

后运行Bypass AntiDBG OEP.txt 找OEP脚本，确提示如下错误：
错误位于行25
文本：gmemi eip,MEMORYBASE
无此命令：：gmemi eip,MEMORYBASE

怎么解决啊？是不是我的OLLYDBG不支持啊

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・2

免费・0

支持

最新回复 (18)
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 2 楼我用另一个版本的OLLYDBG用同样的脚本，提示如下错误：不知如何回避位于地址00E424EC的命令，请尝试更改EIP或忽略程序异常。我按了很多次退不出来？是什么原因啊？我忽略了全部异常选项，请问更改EIP怎么进行？是不是Ctrl+G:0040100 再新建EIP？不懂，是在先运行脚本前，还是脚本后？ 2007-7-26 11:28 0
LoveKuLa 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	LoveKuLa 3 楼留个QQ 发给我我看看顺便学习下 2007-7-27 08:15 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 4 楼我的QQ：5743861 请高手指点 2007-7-27 11:20 0
LoveKuLa 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	LoveKuLa 5 楼我帮你看下不一定成功不是高手只是高抬贵手而已另外你的问题是我的手机号码？别告诉我要我去猜。。我猜到了就不玩这个。。早发财了 2007-7-27 12:20 0
ambistar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	ambistar 6 楼这是因为00E424EC处是断点指令,才有那样问题: 00E424EC F0:CC lock int3 或者int 1 均会产生同样问题. 2007-7-27 13:48 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 7 楼先把od中的udd文件全部删除了然后打开教本文件一般在脚本的前几行都有提示该脚本在那个版本的插件下运行的这样不行的话就不知道为什么了 2007-7-27 22:49 0
LoveKuLa 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	LoveKuLa 8 楼帮忙给一个正确解释 http://bbs.pediy.com/showthread.php?t=47889 2007-7-28 20:50 0
glts 雪币： 224 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 101 粉丝 0 关注私信	glts 9 楼此人为betchao,BS这个败类. 2007-7-28 21:09 0
baof 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	baof 10 楼就是这个垃圾?超级BS之!!!!!!!! 2007-7-28 21:13 0
网络阿牛雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 0 关注私信	网络阿牛 11 楼再BS一个， 2007-7-28 21:20 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 12 楼我是湖北的但此人是湖北的败类！~~~ 2007-7-28 21:56 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 13 楼引用: 最初由 qintomb发布我用另一个版本的OLLYDBG用同样的脚本，提示如下错误：不知如何回避位于地址00E424EC的命令，请尝试更改EIP或忽略程序异常。我按了很多次退不出来？是什么原因啊？我忽略了全部异常选项，请问更改EIP怎么进行？是不是Ctrl+G:0040100 再新建EIP？ ... 这是因为00E424EC处是断点指令,才有那样问题: 00E424EC F0:CC lock int3 或者int 1 均会产生同样问题. 如何解决啊？ 2007-7-29 11:43 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 14 楼先把od中的udd文件全部删除了然后打开教本文件一般在脚本的前几行都有提示该脚本在那个版本的插件下运行的这样不行的话就不知道为什么了我试了，还是不行？我版本是在看雪上下的ollyice，脚本也是在上面下的，是在winxpsp2下调试的，望高手指点。 2007-7-29 11:46 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 15 楼那你加另外一个QQ吧：9741706 2007-7-29 11:47 0
bestwww 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	bestwww 16 楼楼上的几位,有什么资格,有什么权利BS别人？什么叫败类？嫉妒别人把？ 2007-8-1 01:01 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 17 楼后来下了个OllyDbg_Execryptor，可用，而且用Bypass AntiDBG OEP.txt脚本，出现4次异常用shift+F9后，终于运行完！停在以下代码处： 00AD964B E8 F2A60600 CALL test.00B43D42 <-------应该是伪OEP 00AD9650 68 5FA6B21C PUSH 1CB2A65F 00AD9655 0B60 FF OR ESP,DWORD PTR DS:[EAX-1] 00AD9658 ^ E9 9110FFFF JMP test.00ACA6EE 00AD965D E9 8F0B0800 JMP test.00B5A1F1 00AD9662 0F85 41EA0200 JNZ test.00B080A9 00AD9668 0F80 9C800100 JO test.00AF170A 00AD966E E9 2FEA0200 JMP test.00B080A2 00AD9673 E8 EAFFFFFF CALL test.00AD9662 00AD9678 DC1E FCOMP QWORD PTR DS:[ESI] 00AD967A 06 PUSH ES 00AD967B 61 POPAD 00AD967C E9 FFC70300 JMP test.00B15E80 00AD9681 6A 00 PUSH 0 00AD9683 E8 B89AFEFF CALL test.00AC3140 00AD9688 65:4C DEC ESP ; 多余的前缀 00AD968A 7C 3A JL SHORT test.00AD96C6 00AD968C 3D 0B40E1E8 CMP EAX,E8E1400B 00AD9691 65:9D POPFD ; 多余的前缀 00AD9693 0100 ADD DWORD PTR DS:[EAX],EAX 00AD9695 52 PUSH EDX 00AD9696 E9 10360100 JMP test.00AECCAB 00AD969B 0F85 A56F0700 JNZ test.00B50646 00AD96A1 E9 02E60100 JMP test.00AF7CA8 00AD96A6 F7C1 130E4225 TEST ECX,25420E13 00AD96AC E9 87170100 JMP test.00AEAE38 00AD96B1 57 PUSH EDI 00AD96B2 68 1A7FB895 PUSH 95B87F1A 00AD96B7 5F POP EDI 00AD96B8 81CF 0F001EED OR EDI,ED1E000F 00AD96BE 81E7 11FFAD61 AND EDI,61ADFF11 00AD96C4 F7C7 00004000 TEST EDI,400000 00AD96CA E9 45120200 JMP test.00AFA914 00AD96CF 8901 MOV DWORD PTR DS:[ECX],EAX 00AD96D1 81C1 04000000 ADD ECX,4 00AD96D7 8901 MOV DWORD PTR DS:[ECX],EAX 00AD96D9 81C1 04000000 ADD ECX,4 00AD96DF 8901 MOV DWORD PTR DS:[ECX],EAX 00AD96E1 E8 4AD30100 CALL test.00AF6A30 00AD96E6 827E 61 47 CMP BYTE PTR DS:[ESI+61],47 ...... 我该如何再次查找？ 2007-8-9 14:57 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 18 楼怎么没人回复啊，自己先顶起先！ 2007-8-31 18:43 0
tiancheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	tiancheng 19 楼发个连接出来大家看看 2007-10-3 02:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qintomb

发帖

回帖

RANK

关注

私信

他的文章

[求助]脱Execryptor 2_x二次加密时遇到的很菜的问题 8916

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 2 楼我用另一个版本的OLLYDBG用同样的脚本，提示如下错误：不知如何回避位于地址00E424EC的命令，请尝试更改EIP或忽略程序异常。我按了很多次退不出来？是什么原因啊？我忽略了全部异常选项，请问更改EIP怎么进行？是不是Ctrl+G:0040100 再新建EIP？不懂，是在先运行脚本前，还是脚本后？ 2007-7-26 11:28 0
LoveKuLa 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	LoveKuLa 3 楼留个QQ 发给我我看看顺便学习下 2007-7-27 08:15 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 4 楼我的QQ：5743861 请高手指点 2007-7-27 11:20 0
LoveKuLa 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	LoveKuLa 5 楼我帮你看下不一定成功不是高手只是高抬贵手而已另外你的问题是我的手机号码？别告诉我要我去猜。。我猜到了就不玩这个。。早发财了 2007-7-27 12:20 0
ambistar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	ambistar 6 楼这是因为00E424EC处是断点指令,才有那样问题: 00E424EC F0:CC lock int3 或者int 1 均会产生同样问题. 2007-7-27 13:48 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 7 楼先把od中的udd文件全部删除了然后打开教本文件一般在脚本的前几行都有提示该脚本在那个版本的插件下运行的这样不行的话就不知道为什么了 2007-7-27 22:49 0
LoveKuLa 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	LoveKuLa 8 楼帮忙给一个正确解释 http://bbs.pediy.com/showthread.php?t=47889 2007-7-28 20:50 0
glts 雪币： 224 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 101 粉丝 0 关注私信	glts 9 楼此人为betchao,BS这个败类. 2007-7-28 21:09 0
baof 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	baof 10 楼就是这个垃圾?超级BS之!!!!!!!! 2007-7-28 21:13 0
网络阿牛雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 0 关注私信	网络阿牛 11 楼再BS一个， 2007-7-28 21:20 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 12 楼我是湖北的但此人是湖北的败类！~~~ 2007-7-28 21:56 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 13 楼引用: 最初由 qintomb发布我用另一个版本的OLLYDBG用同样的脚本，提示如下错误：不知如何回避位于地址00E424EC的命令，请尝试更改EIP或忽略程序异常。我按了很多次退不出来？是什么原因啊？我忽略了全部异常选项，请问更改EIP怎么进行？是不是Ctrl+G:0040100 再新建EIP？ ... 这是因为00E424EC处是断点指令,才有那样问题: 00E424EC F0:CC lock int3 或者int 1 均会产生同样问题. 如何解决啊？ 2007-7-29 11:43 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 14 楼先把od中的udd文件全部删除了然后打开教本文件一般在脚本的前几行都有提示该脚本在那个版本的插件下运行的这样不行的话就不知道为什么了我试了，还是不行？我版本是在看雪上下的ollyice，脚本也是在上面下的，是在winxpsp2下调试的，望高手指点。 2007-7-29 11:46 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 15 楼那你加另外一个QQ吧：9741706 2007-7-29 11:47 0
bestwww 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	bestwww 16 楼楼上的几位,有什么资格,有什么权利BS别人？什么叫败类？嫉妒别人把？ 2007-8-1 01:01 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 17 楼后来下了个OllyDbg_Execryptor，可用，而且用Bypass AntiDBG OEP.txt脚本，出现4次异常用shift+F9后，终于运行完！停在以下代码处： 00AD964B E8 F2A60600 CALL test.00B43D42 <-------应该是伪OEP 00AD9650 68 5FA6B21C PUSH 1CB2A65F 00AD9655 0B60 FF OR ESP,DWORD PTR DS:[EAX-1] 00AD9658 ^ E9 9110FFFF JMP test.00ACA6EE 00AD965D E9 8F0B0800 JMP test.00B5A1F1 00AD9662 0F85 41EA0200 JNZ test.00B080A9 00AD9668 0F80 9C800100 JO test.00AF170A 00AD966E E9 2FEA0200 JMP test.00B080A2 00AD9673 E8 EAFFFFFF CALL test.00AD9662 00AD9678 DC1E FCOMP QWORD PTR DS:[ESI] 00AD967A 06 PUSH ES 00AD967B 61 POPAD 00AD967C E9 FFC70300 JMP test.00B15E80 00AD9681 6A 00 PUSH 0 00AD9683 E8 B89AFEFF CALL test.00AC3140 00AD9688 65:4C DEC ESP ; 多余的前缀 00AD968A 7C 3A JL SHORT test.00AD96C6 00AD968C 3D 0B40E1E8 CMP EAX,E8E1400B 00AD9691 65:9D POPFD ; 多余的前缀 00AD9693 0100 ADD DWORD PTR DS:[EAX],EAX 00AD9695 52 PUSH EDX 00AD9696 E9 10360100 JMP test.00AECCAB 00AD969B 0F85 A56F0700 JNZ test.00B50646 00AD96A1 E9 02E60100 JMP test.00AF7CA8 00AD96A6 F7C1 130E4225 TEST ECX,25420E13 00AD96AC E9 87170100 JMP test.00AEAE38 00AD96B1 57 PUSH EDI 00AD96B2 68 1A7FB895 PUSH 95B87F1A 00AD96B7 5F POP EDI 00AD96B8 81CF 0F001EED OR EDI,ED1E000F 00AD96BE 81E7 11FFAD61 AND EDI,61ADFF11 00AD96C4 F7C7 00004000 TEST EDI,400000 00AD96CA E9 45120200 JMP test.00AFA914 00AD96CF 8901 MOV DWORD PTR DS:[ECX],EAX 00AD96D1 81C1 04000000 ADD ECX,4 00AD96D7 8901 MOV DWORD PTR DS:[ECX],EAX 00AD96D9 81C1 04000000 ADD ECX,4 00AD96DF 8901 MOV DWORD PTR DS:[ECX],EAX 00AD96E1 E8 4AD30100 CALL test.00AF6A30 00AD96E6 827E 61 47 CMP BYTE PTR DS:[ESI+61],47 ...... 我该如何再次查找？ 2007-8-9 14:57 0
qintomb 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	qintomb 18 楼怎么没人回复啊，自己先顶起先！ 2007-8-31 18:43 0
tiancheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	tiancheng 19 楼发个连接出来大家看看 2007-10-3 02:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复