一个新壳的unpackme!!!-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

一个新壳的unpackme!!!

发表于: 2004-9-23 12:05 6831

一个新壳的unpackme!!!

email123

2004-9-23 12:05

6831

脱脱看，在我的98上运行不起来!!附件:ROD(HighTECH).zip

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・5

免费・1

支持

最新回复 (26) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼无法下载把附件压缩包文件名改的简单点 2004-9-23 14:26 0
CoolWolF 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 118 粉丝 1 关注私信	CoolWolF 3 楼附件:ROD.rar 2004-9-23 14:42 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 4 楼 OEP:004011D8 2004-9-23 16:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼不知道脱到这步是否还是在ROD之中 OEP: 000011D8 IATRVA: 00001000 IATSize: 000000A8 但是没办法了，注册成功之后就退出了注册码也太长了，明码比较，何必如此 004058C8 41 00 73 00 6D 00 2E 00 24 00 66 00 67 00 20 00 A.s.m...$.f.g. . 004058D8 41 00 50 00 47 00 20 00 4D 00 45 00 64 00 6F 00 A.P.G. .M.E.d.o. 004058E8 32 00 20 00 31 00 31 00 33 00 20 00 31 00 64 00 2. .1.1.3. .1.d. 004058F8 73 00 6F 00 47 00 4A 00 46 00 20 00 64 00 66 00 s.o.G.J.F. .d.f. 00405908 24 00 66 00 67 00 64 00 60 00 23 00 64 00 20 00 $.f.g.d.`.#.d. . 00405918 66 00 67 00 23 00 40 00 60 00 67 00 20 00 64 00 f.g.#.@.`.g. .d. 00405928 66 00 2A 00 25 00 20 00 40 00 20 00 29 00 20 00 f..%. .@. .). . 00405938 2A 00 64 00 66 00 40 00 2A 00 20 00 67 00 24 00 .d.f.@.. .g.$. 00405948 40 00 68 00 6A 00 6B 00 24 00 6B 00 20 00 20 00 @.h.j.k.$.k. . . 00405958 64 00 40 00 25 00 29 00 28 00 40 00 2A 00 20 00 d.@.%.).(.@.. . 00405968 28 00 25 00 61 00 20 00 73 00 35 00 34 00 35 00 (.%.a. .s.5.4.5. 00405978 33 00 32 00 31 00 35 00 35 00 67 00 67 00 23 00 3.2.1.5.5.g.g.#. 00405988 24 00 25 00 23 00 4A 00 24 00 4B 00 23 00 3A 00 $.%.#.J.$.K.#.:. 00405998 4C 00 4B 00 4A 00 4C 00 3A 00 4A 00 23 00 3A 00 L.K.J.L.:.J.#.:. 004059A8 4C 00 73 00 67 00 66 00 37 00 33 00 32 00 31 00 L.s.g.f.7.3.2.1. 004059B8 38 00 37 00 33 00 32 00 31 00 64 00 2A 00 20 00 8.7.3.2.1.d.. . 004059C8 40 00 28 00 25 00 61 00 35 00 34 00 33 00 64 00 @.(.%.a.5.4.3.d. 004059D8 73 00 20 00 35 00 34 00 73 00 64 00 2A 00 40 00 s. .5.4.s.d..@. 004059E8 28 00 25 00 20 00 2A 00 35 00 34 00 35 00 35 00 (.%. ..5.4.5.5. 004059F8 34 00 20 00 44 00 47 00 3A 00 4C 00 44 00 46 00 4. .D.G.:.L.D.F. 00405A08 47 00 7D 00 45 00 23 00 24 00 40 00 25 00 36 00 G.}.E.#.$.@.%.6. 00405A18 35 00 20 00 34 00 67 00 64 00 66 00 20 00 67 00 5. .4.g.d.f. .g. 00405A28 5E 00 25 00 24 00 5E 00 25 00 24 00 26 00 2A 00 ^.%.$.^.%.$.&.. 00405A38 2A 00 2D 00 20 00 2A 00 2D 00 2A 00 2B 00 44 00 .-. ..-..+.D. 00405A48 47 00 20 00 46 00 4C 00 20 00 44 00 6A 00 60 00 G. .F.L. .D.j.`. 00405A58 60 00 67 00 70 00 34 00 68 00 2C 00 60 00 35 00 `.g.p.4.h.,.`.5. 00405A68 70 00 39 00 40 00 38 00 68 00 23 00 34 00 67 00 p.9.@.8.h.#.4.g. 00405A78 70 00 60 00 2E 00 20 00 2C 00 34 00 39 00 68 00 p.`... .,.4.9.h. 00405A88 20 00 67 00 47 00 4B 00 2A 00 20 00 40 00 47 00 .g.G.K.. .@.G. 00405A98 4B 00 20 00 47 00 4B 00 33 00 2E 00 39 00 33 00 K. .G.K.3...9.3. 00405AA8 38 00 34 00 20 00 79 00 2C 00 74 00 39 00 2E 00 8.4. .y.,.t.9... 00405AB8 2C 00 33 00 68 00 67 00 39 00 2F 00 2A 00 35 00 ,.3.h.g.9./..5. 00405AC8 36 00 2F 00 2A 00 2A 00 36 00 35 00 34 00 2A 00 6./...6.5.4.. 00405AD8 38 00 37 00 45 00 52 00 4F 00 49 00 24 00 4F 00 8.7.E.R.O.I.$.O. 00405AE8 49 00 5E 00 25 00 25 00 4F 00 24 00 2A 00 5E 00 I.^.%.%.O.$..^. 00405AF8 46 00 4F 00 52 00 2A 00 45 00 23 00 59 00 46 00 F.O.R..E.#.Y.F. 00405B08 47 00 20 00 4F 00 4A 00 46 00 47 00 34 00 25 00 G. .O.J.F.G.4.%. 00405B18 4A 00 24 00 25 00 34 00 35 00 5E 00 24 00 35 00 J.$.%.4.5.^.$.5. 00405B28 34 00 35 00 36 00 25 00 24 00 4A 00 24 00 35 00 4.5.6.%.$.J.$.5. 00405B38 40 00 34 00 25 00 24 00 00 00 00 00 96 00 00 00 @.4.%.$ 2004-9-23 17:32 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 6 楼最初由 kimmal 发布 OEP:004011D8 这个在压缩包里已经告诉了我们，没什么奇怪的。这个程序反加载？我加载不了它。 2004-9-23 17:41 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 7 楼 Not hard to unpack , I did unpack it , oep =4011d8, dump here and fix the It normally, I had to add the MSVBVm60 becuase it is missing after unpacking. Regards. 2004-9-23 18:01 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼不需要脱壳，上面说了，脱壳会使程序出现错误，所以以壳解壳。秒爆。不过真的很好，居然堆残，还有内存转储都看不到了，果然很前卫，不过对于我的爆破方法而言，意义不大。 2004-9-23 18:10 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 9 楼最初由 moon 发布这个在压缩包里已经告诉了我们，没什么奇怪的。这个程序反加载？我加载不了它。不好意思，没看到注释，是有点怪，加载直接断在系统断点里面有yp + upx 2004-9-23 18:17 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 10 楼终于跟下来啦，从这里跳向入口点： 00418CD6 or eax,eax 00418CD8 je short ROD_(Hig.00418CE1 00418CDA mov dword ptr ds:[ebx],eax 00418CDC add ebx,4 00418CDF jmp short ROD_(Hig.00418CB9 00418CE1 call dword ptr ds:[esi+182F0] 00418CE7 popad 00418CE8 jmp ROD_(Hig.004011D8 2004-9-23 18:46 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 11 楼最初由鸡蛋壳发布不需要脱壳，上面说了，脱壳会使程序出现错误，所以以壳解壳。秒爆。不过真的很好，居然堆残，还有内存转储都看不到了，果然很前卫，不过对于我的爆破方法而言，意义不大堆残，还有内存转储都看不到？恐怕能看见吧你爆破之后点确定会如何？ 2004-9-23 19:41 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 12 楼 00412A9B push eax 00412A9C push dumped_.004058C8 ; UNICODE "Asm.$fg APG MEdo2 113 1dsoGJF df$fgd`#d fg#@`g df% @ ) df@* g$@hjk$k d@%)(@* (%a s54532155gg#$%#J" 00412AA1 call dword ptr ds:[40103C] ; msvbvm60.__vbaStrCmp 关键比较，为什么用不用上面那个字符串都不会成功呢？ 2004-9-23 19:46 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 13 楼最初由 fly 发布堆残，还有内存转储都看不到？恐怕能看见吧 ........ 当然看不见了，我没有细调，这点我总不可能搞错吧，我的是2K系统，不知道是不是系统保护差异，注册后就注册了，没有出现程序退出。 2004-9-23 20:45 0
email123 雪币： 14179 活跃值： (3810) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 225 粉丝 1 关注私信	email123 14 楼最初由鸡蛋壳发布不需要脱壳，上面说了，脱壳会使程序出现错误，所以以壳解壳。秒爆。不过真的很好，居然堆残，还有内存转储都看不到了，果然很前卫，不过对于我的爆破方法而言，意义不大。英文的意思好象说“脱壳不难，可在oep=4011d8处脱壳，修复正常,但必须添加 MSVBVm60，因为脱壳后丢失了。而并非蛋蛋所理解的吧. 2004-9-23 21:40 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 15 楼最初由 moon 发布终于跟下来啦，从这里跳向入口点： 00418CD6 or eax,eax 00418CD8 je short ROD_(Hig.00418CE1 00418CDA mov dword ptr ds:[ebx],eax ........ 怎么跟下来的？请说说。我这里根本无法正常调试。 2004-9-23 22:21 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 16 楼 004011D8 68 E44B4000 PUSH 12b6f8.00404BE4 004011DD E8 EEFFFFFF CALL 12b6f8.004011D0 ; JMP to MSVBVM60.ThunRTMain 004011E2 0000 ADD BYTE PTR DS:[EAX],AL 004011E4 0000 ADD BYTE PTR DS:[EAX],AL 004011E6 0000 ADD BYTE PTR DS:[EAX],AL 004011E8 3000 XOR BYTE PTR DS:[EAX],AL 004011EA 0000 ADD BYTE PTR DS:[EAX],AL 004011EC 3800 CMP BYTE PTR DS:[EAX],AL 004011EE 0000 ADD BYTE PTR DS:[EAX],AL 004011F0 0000 ADD BYTE PTR DS:[EAX],AL 004011F2 0000 ADD BYTE PTR DS:[EAX],AL 004011F4 E7 4A OUT 4A,EAX ; I/O 命令 004011F6 B6 B2 MOV DH,0B2 2004-9-23 22:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 17 楼最初由 moon 发布 00412A9B push eax 00412A9C push dumped_.004058C8 ; UNICODE "Asm.$fg APG MEdo2 113 1dsoGJF df$fgd`#d fg#@`g df% @ ) df@* g$@hjk$k d@%)(@* (%a s54532155gg#$%#J" 00412AA1 call dword ptr ds:[40103C] ; msvbvm60.__vbaStrCmp 关键比较，为什么用不用上面那个字符串都不会成功呢？可以，注册码在我上面的帖子里很长 btw：脱壳是没问题的直接下APT断点就可以中断、调试了 2004-9-23 23:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼 Key: Asm.$fg APG MEdo2 113 1dsoGJF df$fgd`#d fg#@`g df% @ ) df@* g$@hjk$k d@%)(@* (%a s54532155gg#$%#J$K#:LKJL:J#:Lsgf732187321d* @(%a543ds 54sd@(% 54554 DG:LDFG}E#$@%65 4gdf g^%$^%$&*- -+DG FL Dj``gp4h,`5p9@8h# 4gp`. ,49h gGK @GK GK3.9384 y,t9.,3hg9/56/65487EROI$OI^%%O$^FORE#YFG OJFG4%J$%45^$5456%$J$5@4%$ 注意：上面的3段是相连的，输入的时候中间不能有回车等其他字符！ Game 附件:UnPacked-ROD.rar 2004-9-24 02:30 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 19 楼哇，原来这么长，我以为按OD提示区的输入就行了呢。 2004-9-24 08:51 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 20 楼最初由 csjwaman 发布怎么跟下来的？请说说。我这里根本无法正常调试。呵呵，你受了壳所设异常的影响，要利用异常，找到最后一次异常，再往下跟。 2004-9-24 08:54 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 21 楼 0140E848 8B9D A8364000 MOV EBX,DWORD PTR SS:[EBP+4036A8]=====>来到这里。 0140E84E 039D AC364000 ADD EBX,DWORD PTR SS:[EBP+4036AC]=====>EBX=418B90 0140E854 C1CB 07 ROR EBX,7=====>执行后EBX=20008317。 0140E857 895C24 10 MOV DWORD PTR SS:[ESP+10],EBX 0140E85B 8D9D DD354000 LEA EBX,DWORD PTR SS:[EBP+4035DD] 0140E861 895C24 1C MOV DWORD PTR SS:[ESP+1C],EBX 0140E865 8BBD A8364000 MOV EDI,DWORD PTR SS:[EBP+4036A8] 0140E86B 037F 3C ADD EDI,DWORD PTR DS:[EDI+3C] 0140E86E 8B9F C0000000 MOV EBX,DWORD PTR DS:[EDI+C0] 0140E874 83FB 00 CMP EBX,0 0140E877 74 0F JE SHORT ROD_(Hig.0140E888 0140E879 039D A8364000 ADD EBX,DWORD PTR SS:[EBP+4036A8] 0140E87F 8B43 08 MOV EAX,DWORD PTR DS:[EBX+8] 0140E882 C700 00000000 MOV DWORD PTR DS:[EAX],0 0140E888 8B85 B4364000 MOV EAX,DWORD PTR SS:[EBP+4036B4] 0140E88E 0BC0 OR EAX,EAX 0140E890 74 0D JE SHORT ROD_(Hig.0140E89F 然后跟踪到这里： 0140C00B 0000 ADD BYTE PTR DS:[EAX],AL 0140C00D 93 XCHG EAX,EBX=====>将EBX=20008317 移入EAX。 0140C00E 0100 ADD DWORD PTR DS:[EAX],EAX======>执行这里时程序异常，无法通过。 0140C010 E8 92010000 CALL ROD_(Hig.0140C1A7 0140C015 0000 ADD BYTE PTR DS:[EAX],AL 0140C017 0000 ADD BYTE PTR DS:[EAX],AL 0140C019 0000 ADD BYTE PTR DS:[EAX],AL 0140C01B 0000 ADD BYTE PTR DS:[EAX],AL 0140C01D 0000 ADD BYTE PTR DS:[EAX],AL 0140C01F 000D 930100F8 ADD BYTE PTR DS:[F8000193],CL 请兄弟们指教如何通过上述异常。 2004-9-25 11:00 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 22 楼原来下载的已删除，重下看了看，没遇到你的这个异常。 OD不忽略任何异常，shift+F9通过每个异常，最后一次异常是： 0140ED49 add byte ptr ds:[eax],al 到这个异常后，先不通过异常，向上看代码： 0140ED10 mov dword ptr ds:[eax+B8],edi <====在此设断 0140ED16 mov eax,0 0140ED1B pop edi 0140ED1C leave 0140ED1D retn 中断后下：bp edi，运行。再中断后，按你以前的方法即可跟到我上面列的那一段。 2004-9-25 19:34 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 23 楼谢谢moon兄弟的回答!我已经成功。但还想问一下为什么要到0140ED10 mov dword ptr ds:[eax+B8],edi 处下断？ 2004-9-25 20:41 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 24 楼原理说不清，模仿某些脱壳过程，因为要不然后就会落入陷阱，迷失在系统代码中，而这里和“仙剑”一类的壳代码有相似之处，故模仿之。 2004-9-25 21:21 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 25 楼谢谢!不过不知我为何遇上那个异常的。 2004-9-25 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

email123

发帖

225

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼无法下载把附件压缩包文件名改的简单点 2004-9-23 14:26 0
CoolWolF 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 118 粉丝 1 关注私信	CoolWolF 3 楼附件:ROD.rar 2004-9-23 14:42 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 4 楼 OEP:004011D8 2004-9-23 16:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼不知道脱到这步是否还是在ROD之中 OEP: 000011D8 IATRVA: 00001000 IATSize: 000000A8 但是没办法了，注册成功之后就退出了注册码也太长了，明码比较，何必如此 004058C8 41 00 73 00 6D 00 2E 00 24 00 66 00 67 00 20 00 A.s.m...$.f.g. . 004058D8 41 00 50 00 47 00 20 00 4D 00 45 00 64 00 6F 00 A.P.G. .M.E.d.o. 004058E8 32 00 20 00 31 00 31 00 33 00 20 00 31 00 64 00 2. .1.1.3. .1.d. 004058F8 73 00 6F 00 47 00 4A 00 46 00 20 00 64 00 66 00 s.o.G.J.F. .d.f. 00405908 24 00 66 00 67 00 64 00 60 00 23 00 64 00 20 00 $.f.g.d.`.#.d. . 00405918 66 00 67 00 23 00 40 00 60 00 67 00 20 00 64 00 f.g.#.@.`.g. .d. 00405928 66 00 2A 00 25 00 20 00 40 00 20 00 29 00 20 00 f..%. .@. .). . 00405938 2A 00 64 00 66 00 40 00 2A 00 20 00 67 00 24 00 .d.f.@.. .g.$. 00405948 40 00 68 00 6A 00 6B 00 24 00 6B 00 20 00 20 00 @.h.j.k.$.k. . . 00405958 64 00 40 00 25 00 29 00 28 00 40 00 2A 00 20 00 d.@.%.).(.@.. . 00405968 28 00 25 00 61 00 20 00 73 00 35 00 34 00 35 00 (.%.a. .s.5.4.5. 00405978 33 00 32 00 31 00 35 00 35 00 67 00 67 00 23 00 3.2.1.5.5.g.g.#. 00405988 24 00 25 00 23 00 4A 00 24 00 4B 00 23 00 3A 00 $.%.#.J.$.K.#.:. 00405998 4C 00 4B 00 4A 00 4C 00 3A 00 4A 00 23 00 3A 00 L.K.J.L.:.J.#.:. 004059A8 4C 00 73 00 67 00 66 00 37 00 33 00 32 00 31 00 L.s.g.f.7.3.2.1. 004059B8 38 00 37 00 33 00 32 00 31 00 64 00 2A 00 20 00 8.7.3.2.1.d.. . 004059C8 40 00 28 00 25 00 61 00 35 00 34 00 33 00 64 00 @.(.%.a.5.4.3.d. 004059D8 73 00 20 00 35 00 34 00 73 00 64 00 2A 00 40 00 s. .5.4.s.d..@. 004059E8 28 00 25 00 20 00 2A 00 35 00 34 00 35 00 35 00 (.%. ..5.4.5.5. 004059F8 34 00 20 00 44 00 47 00 3A 00 4C 00 44 00 46 00 4. .D.G.:.L.D.F. 00405A08 47 00 7D 00 45 00 23 00 24 00 40 00 25 00 36 00 G.}.E.#.$.@.%.6. 00405A18 35 00 20 00 34 00 67 00 64 00 66 00 20 00 67 00 5. .4.g.d.f. .g. 00405A28 5E 00 25 00 24 00 5E 00 25 00 24 00 26 00 2A 00 ^.%.$.^.%.$.&.. 00405A38 2A 00 2D 00 20 00 2A 00 2D 00 2A 00 2B 00 44 00 .-. ..-..+.D. 00405A48 47 00 20 00 46 00 4C 00 20 00 44 00 6A 00 60 00 G. .F.L. .D.j.`. 00405A58 60 00 67 00 70 00 34 00 68 00 2C 00 60 00 35 00 `.g.p.4.h.,.`.5. 00405A68 70 00 39 00 40 00 38 00 68 00 23 00 34 00 67 00 p.9.@.8.h.#.4.g. 00405A78 70 00 60 00 2E 00 20 00 2C 00 34 00 39 00 68 00 p.`... .,.4.9.h. 00405A88 20 00 67 00 47 00 4B 00 2A 00 20 00 40 00 47 00 .g.G.K.. .@.G. 00405A98 4B 00 20 00 47 00 4B 00 33 00 2E 00 39 00 33 00 K. .G.K.3...9.3. 00405AA8 38 00 34 00 20 00 79 00 2C 00 74 00 39 00 2E 00 8.4. .y.,.t.9... 00405AB8 2C 00 33 00 68 00 67 00 39 00 2F 00 2A 00 35 00 ,.3.h.g.9./..5. 00405AC8 36 00 2F 00 2A 00 2A 00 36 00 35 00 34 00 2A 00 6./...6.5.4.. 00405AD8 38 00 37 00 45 00 52 00 4F 00 49 00 24 00 4F 00 8.7.E.R.O.I.$.O. 00405AE8 49 00 5E 00 25 00 25 00 4F 00 24 00 2A 00 5E 00 I.^.%.%.O.$..^. 00405AF8 46 00 4F 00 52 00 2A 00 45 00 23 00 59 00 46 00 F.O.R..E.#.Y.F. 00405B08 47 00 20 00 4F 00 4A 00 46 00 47 00 34 00 25 00 G. .O.J.F.G.4.%. 00405B18 4A 00 24 00 25 00 34 00 35 00 5E 00 24 00 35 00 J.$.%.4.5.^.$.5. 00405B28 34 00 35 00 36 00 25 00 24 00 4A 00 24 00 35 00 4.5.6.%.$.J.$.5. 00405B38 40 00 34 00 25 00 24 00 00 00 00 00 96 00 00 00 @.4.%.$ 2004-9-23 17:32 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 6 楼最初由 kimmal 发布 OEP:004011D8 这个在压缩包里已经告诉了我们，没什么奇怪的。这个程序反加载？我加载不了它。 2004-9-23 17:41 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 7 楼 Not hard to unpack , I did unpack it , oep =4011d8, dump here and fix the It normally, I had to add the MSVBVm60 becuase it is missing after unpacking. Regards. 2004-9-23 18:01 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼不需要脱壳，上面说了，脱壳会使程序出现错误，所以以壳解壳。秒爆。不过真的很好，居然堆残，还有内存转储都看不到了，果然很前卫，不过对于我的爆破方法而言，意义不大。 2004-9-23 18:10 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 9 楼最初由 moon 发布这个在压缩包里已经告诉了我们，没什么奇怪的。这个程序反加载？我加载不了它。不好意思，没看到注释，是有点怪，加载直接断在系统断点里面有yp + upx 2004-9-23 18:17 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 10 楼终于跟下来啦，从这里跳向入口点： 00418CD6 or eax,eax 00418CD8 je short ROD_(Hig.00418CE1 00418CDA mov dword ptr ds:[ebx],eax 00418CDC add ebx,4 00418CDF jmp short ROD_(Hig.00418CB9 00418CE1 call dword ptr ds:[esi+182F0] 00418CE7 popad 00418CE8 jmp ROD_(Hig.004011D8 2004-9-23 18:46 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 11 楼最初由鸡蛋壳发布不需要脱壳，上面说了，脱壳会使程序出现错误，所以以壳解壳。秒爆。不过真的很好，居然堆残，还有内存转储都看不到了，果然很前卫，不过对于我的爆破方法而言，意义不大堆残，还有内存转储都看不到？恐怕能看见吧你爆破之后点确定会如何？ 2004-9-23 19:41 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 12 楼 00412A9B push eax 00412A9C push dumped_.004058C8 ; UNICODE "Asm.$fg APG MEdo2 113 1dsoGJF df$fgd`#d fg#@`g df% @ ) df@* g$@hjk$k d@%)(@* (%a s54532155gg#$%#J" 00412AA1 call dword ptr ds:[40103C] ; msvbvm60.__vbaStrCmp 关键比较，为什么用不用上面那个字符串都不会成功呢？ 2004-9-23 19:46 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 13 楼最初由 fly 发布堆残，还有内存转储都看不到？恐怕能看见吧 ........ 当然看不见了，我没有细调，这点我总不可能搞错吧，我的是2K系统，不知道是不是系统保护差异，注册后就注册了，没有出现程序退出。 2004-9-23 20:45 0
email123 雪币： 14179 活跃值： (3810) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 225 粉丝 1 关注私信	email123 14 楼最初由鸡蛋壳发布不需要脱壳，上面说了，脱壳会使程序出现错误，所以以壳解壳。秒爆。不过真的很好，居然堆残，还有内存转储都看不到了，果然很前卫，不过对于我的爆破方法而言，意义不大。英文的意思好象说“脱壳不难，可在oep=4011d8处脱壳，修复正常,但必须添加 MSVBVm60，因为脱壳后丢失了。而并非蛋蛋所理解的吧. 2004-9-23 21:40 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 15 楼最初由 moon 发布终于跟下来啦，从这里跳向入口点： 00418CD6 or eax,eax 00418CD8 je short ROD_(Hig.00418CE1 00418CDA mov dword ptr ds:[ebx],eax ........ 怎么跟下来的？请说说。我这里根本无法正常调试。 2004-9-23 22:21 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 16 楼 004011D8 68 E44B4000 PUSH 12b6f8.00404BE4 004011DD E8 EEFFFFFF CALL 12b6f8.004011D0 ; JMP to MSVBVM60.ThunRTMain 004011E2 0000 ADD BYTE PTR DS:[EAX],AL 004011E4 0000 ADD BYTE PTR DS:[EAX],AL 004011E6 0000 ADD BYTE PTR DS:[EAX],AL 004011E8 3000 XOR BYTE PTR DS:[EAX],AL 004011EA 0000 ADD BYTE PTR DS:[EAX],AL 004011EC 3800 CMP BYTE PTR DS:[EAX],AL 004011EE 0000 ADD BYTE PTR DS:[EAX],AL 004011F0 0000 ADD BYTE PTR DS:[EAX],AL 004011F2 0000 ADD BYTE PTR DS:[EAX],AL 004011F4 E7 4A OUT 4A,EAX ; I/O 命令 004011F6 B6 B2 MOV DH,0B2 2004-9-23 22:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 17 楼最初由 moon 发布 00412A9B push eax 00412A9C push dumped_.004058C8 ; UNICODE "Asm.$fg APG MEdo2 113 1dsoGJF df$fgd`#d fg#@`g df% @ ) df@* g$@hjk$k d@%)(@* (%a s54532155gg#$%#J" 00412AA1 call dword ptr ds:[40103C] ; msvbvm60.__vbaStrCmp 关键比较，为什么用不用上面那个字符串都不会成功呢？可以，注册码在我上面的帖子里很长 btw：脱壳是没问题的直接下APT断点就可以中断、调试了 2004-9-23 23:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼 Key: Asm.$fg APG MEdo2 113 1dsoGJF df$fgd`#d fg#@`g df% @ ) df@* g$@hjk$k d@%)(@* (%a s54532155gg#$%#J$K#:LKJL:J#:Lsgf732187321d* @(%a543ds 54sd@(% 54554 DG:LDFG}E#$@%65 4gdf g^%$^%$&*- -+DG FL Dj``gp4h,`5p9@8h# 4gp`. ,49h gGK @GK GK3.9384 y,t9.,3hg9/56/65487EROI$OI^%%O$^FORE#YFG OJFG4%J$%45^$5456%$J$5@4%$ 注意：上面的3段是相连的，输入的时候中间不能有回车等其他字符！ Game 附件:UnPacked-ROD.rar 2004-9-24 02:30 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 19 楼哇，原来这么长，我以为按OD提示区的输入就行了呢。 2004-9-24 08:51 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 20 楼最初由 csjwaman 发布怎么跟下来的？请说说。我这里根本无法正常调试。呵呵，你受了壳所设异常的影响，要利用异常，找到最后一次异常，再往下跟。 2004-9-24 08:54 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 21 楼 0140E848 8B9D A8364000 MOV EBX,DWORD PTR SS:[EBP+4036A8]=====>来到这里。 0140E84E 039D AC364000 ADD EBX,DWORD PTR SS:[EBP+4036AC]=====>EBX=418B90 0140E854 C1CB 07 ROR EBX,7=====>执行后EBX=20008317。 0140E857 895C24 10 MOV DWORD PTR SS:[ESP+10],EBX 0140E85B 8D9D DD354000 LEA EBX,DWORD PTR SS:[EBP+4035DD] 0140E861 895C24 1C MOV DWORD PTR SS:[ESP+1C],EBX 0140E865 8BBD A8364000 MOV EDI,DWORD PTR SS:[EBP+4036A8] 0140E86B 037F 3C ADD EDI,DWORD PTR DS:[EDI+3C] 0140E86E 8B9F C0000000 MOV EBX,DWORD PTR DS:[EDI+C0] 0140E874 83FB 00 CMP EBX,0 0140E877 74 0F JE SHORT ROD_(Hig.0140E888 0140E879 039D A8364000 ADD EBX,DWORD PTR SS:[EBP+4036A8] 0140E87F 8B43 08 MOV EAX,DWORD PTR DS:[EBX+8] 0140E882 C700 00000000 MOV DWORD PTR DS:[EAX],0 0140E888 8B85 B4364000 MOV EAX,DWORD PTR SS:[EBP+4036B4] 0140E88E 0BC0 OR EAX,EAX 0140E890 74 0D JE SHORT ROD_(Hig.0140E89F 然后跟踪到这里： 0140C00B 0000 ADD BYTE PTR DS:[EAX],AL 0140C00D 93 XCHG EAX,EBX=====>将EBX=20008317 移入EAX。 0140C00E 0100 ADD DWORD PTR DS:[EAX],EAX======>执行这里时程序异常，无法通过。 0140C010 E8 92010000 CALL ROD_(Hig.0140C1A7 0140C015 0000 ADD BYTE PTR DS:[EAX],AL 0140C017 0000 ADD BYTE PTR DS:[EAX],AL 0140C019 0000 ADD BYTE PTR DS:[EAX],AL 0140C01B 0000 ADD BYTE PTR DS:[EAX],AL 0140C01D 0000 ADD BYTE PTR DS:[EAX],AL 0140C01F 000D 930100F8 ADD BYTE PTR DS:[F8000193],CL 请兄弟们指教如何通过上述异常。 2004-9-25 11:00 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 22 楼原来下载的已删除，重下看了看，没遇到你的这个异常。 OD不忽略任何异常，shift+F9通过每个异常，最后一次异常是： 0140ED49 add byte ptr ds:[eax],al 到这个异常后，先不通过异常，向上看代码： 0140ED10 mov dword ptr ds:[eax+B8],edi <====在此设断 0140ED16 mov eax,0 0140ED1B pop edi 0140ED1C leave 0140ED1D retn 中断后下：bp edi，运行。再中断后，按你以前的方法即可跟到我上面列的那一段。 2004-9-25 19:34 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 23 楼谢谢moon兄弟的回答!我已经成功。但还想问一下为什么要到0140ED10 mov dword ptr ds:[eax+B8],edi 处下断？ 2004-9-25 20:41 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 24 楼原理说不清，模仿某些脱壳过程，因为要不然后就会落入陷阱，迷失在系统代码中，而这里和“仙剑”一类的壳代码有相似之处，故模仿之。 2004-9-25 21:21 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 25 楼谢谢!不过不知我为何遇上那个异常的。 2004-9-25 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复