[求助]T壳，手动脱完IAT也修复了，为何运行时一点就消失？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
rubo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	rubo 2 楼可能有自校验。 2007-7-27 19:23 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 3 楼可能是rubo所说的原因，你用OD加载脱壳后的程序，与原程序对比着跟踪一下。 2007-7-27 19:37 0
woohyuk 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 56 粉丝 0 关注私信	woohyuk 4 楼 00407000 >/$ 53 push ebx 00407001 \|. 8BD8 mov ebx, eax 00407003 \|. 33C0 xor eax, eax 00407005 \|. A3 A4704E00 mov dword ptr [4E70A4], eax 0040700A \|. 6A 00 push 0 ; /pModule = NULL 0040700C \|. E8 2BFFFFFF call <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA 00407011 \|. A3 68B64E00 mov dword ptr [4EB668], eax 00407016 \|. A1 68B64E00 mov eax, dword ptr [4EB668] 0040701B \|. A3 B0704E00 mov dword ptr [4E70B0], eax 00407020 \|. 33C0 xor eax, eax 00407022 \|. A3 B4704E00 mov dword ptr [4E70B4], eax 00407027 \|. 33C0 xor eax, eax 00407029 \|. A3 B8704E00 mov dword ptr [4E70B8], eax 0040702E \|. E8 C1FFFFFF call 00406FF4 00407033 \|. BA AC704E00 mov edx, 004E70AC 00407038 \|. 8BC3 mov eax, ebx 0040703A \|. E8 45D7FFFF call 00404784 0040703F \|. 5B pop ebx 00407040 \. C3 retn 多谢二位，出现这问题时就跟踪过了，上面是脱过壳的OEP（00407000）附近代码，不知是否是伪OEP，脱后PEID 094看是Borland Delphi 6.0 - 7.0，并且EP那里是空的。这段代码的7040处也就是C3 retn 看堆栈是返回到kernel32的，过去后没几句就exitprocess了，而没脱过壳的走到这里不会返回kernel32那里。请教各位还有什么可能么？ 2007-7-27 20:01 0
不死神鸟雪币： 19 活跃值： (107) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 756 粉丝 1 关注私信	不死神鸟 1 5 楼肯定是自效验 2007-7-28 04:08 0
woohyuk 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 56 粉丝 0 关注私信	woohyuk 6 楼经观察，脱壳后到达407000时，各寄存器的值和未脱壳到达同样地点时的值完全不同，有没有可能是偷代码呢? 2007-7-28 09:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
rubo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	rubo 2 楼可能有自校验。 2007-7-27 19:23 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 3 楼可能是rubo所说的原因，你用OD加载脱壳后的程序，与原程序对比着跟踪一下。 2007-7-27 19:37 0
woohyuk 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 56 粉丝 0 关注私信	woohyuk 4 楼 00407000 >/$ 53 push ebx 00407001 \|. 8BD8 mov ebx, eax 00407003 \|. 33C0 xor eax, eax 00407005 \|. A3 A4704E00 mov dword ptr [4E70A4], eax 0040700A \|. 6A 00 push 0 ; /pModule = NULL 0040700C \|. E8 2BFFFFFF call <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA 00407011 \|. A3 68B64E00 mov dword ptr [4EB668], eax 00407016 \|. A1 68B64E00 mov eax, dword ptr [4EB668] 0040701B \|. A3 B0704E00 mov dword ptr [4E70B0], eax 00407020 \|. 33C0 xor eax, eax 00407022 \|. A3 B4704E00 mov dword ptr [4E70B4], eax 00407027 \|. 33C0 xor eax, eax 00407029 \|. A3 B8704E00 mov dword ptr [4E70B8], eax 0040702E \|. E8 C1FFFFFF call 00406FF4 00407033 \|. BA AC704E00 mov edx, 004E70AC 00407038 \|. 8BC3 mov eax, ebx 0040703A \|. E8 45D7FFFF call 00404784 0040703F \|. 5B pop ebx 00407040 \. C3 retn 多谢二位，出现这问题时就跟踪过了，上面是脱过壳的OEP（00407000）附近代码，不知是否是伪OEP，脱后PEID 094看是Borland Delphi 6.0 - 7.0，并且EP那里是空的。这段代码的7040处也就是C3 retn 看堆栈是返回到kernel32的，过去后没几句就exitprocess了，而没脱过壳的走到这里不会返回kernel32那里。请教各位还有什么可能么？ 2007-7-27 20:01 0
不死神鸟雪币： 19 活跃值： (107) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 756 粉丝 1 关注私信	不死神鸟 1 5 楼肯定是自效验 2007-7-28 04:08 0
woohyuk 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 56 粉丝 0 关注私信	woohyuk 6 楼经观察，脱壳后到达407000时，各寄存器的值和未脱壳到达同样地点时的值完全不同，有没有可能是偷代码呢? 2007-7-28 09:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复