[求助]脱UPX壳遇到问题&系统执行保护&自校验?-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
kanxue 雪币： 50161 活跃值： (20615) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 2 楼你用OD跟踪一下脱壳后的程序，与没脱壳的比较一下。 2007-9-9 10:12 0
jiangjing 雪币： 244 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 110 粉丝 0 关注私信	jiangjing 1 3 楼把脱壳后的文件与原来的那个文件对比（用od载入），脱壳后的文件中若发现无名的跳转，nop掉。 2007-9-9 12:04 0
mrowen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	mrowen 4 楼我是菜鸟,对这个实在不精通. 是BP CreateFileA吗? 谢谢 2007-9-9 12:13 0
msqsniper 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 48 粉丝 0 关注私信	msqsniper 5 楼就是把原来的文件不要脱壳的用OD载入，然后在把已经脱壳的也用OD载入，然后在OEP地方单步对照两个软件的代码，看那里有不同，正常状况是原来的文件有跳转或者没有跳转，脱壳后的边成没跳转或者跳转，把脱壳后的文件改成跟原一样的状况应该就可以了 2007-9-10 22:21 0
tomken 雪币： 1025 活跃值： (1007) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 107 粉丝 1 关注私信	tomken 6 楼这样也可以啊? 2007-9-11 23:23 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 7 楼 cmp file_size jnz xxxxxx hehe~ 或者你开两个od,一个加载原带壳的程序(运行到oep), 一个加载脱壳后的程序, f8一步步比较一下各个跳转,发现脱壳后的程序的某个跳转和原带壳程序的不一样(或者跳转实现与否)`,改了```````` 2007-9-12 11:12 0
msqsniper 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 48 粉丝 0 关注私信	msqsniper 8 楼这样的壳比较多可能是有附加代码,用编辑工具也可以对照一下看有没有数据丢了没有做，如果是有附加数据的那就要做数据修复了 2007-9-12 16:15 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 9 楼用C32ASM搜索字串进领空 2007-9-12 21:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
kanxue 雪币： 50161 活跃值： (20615) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 2 楼你用OD跟踪一下脱壳后的程序，与没脱壳的比较一下。 2007-9-9 10:12 0
jiangjing 雪币： 244 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 110 粉丝 0 关注私信	jiangjing 1 3 楼把脱壳后的文件与原来的那个文件对比（用od载入），脱壳后的文件中若发现无名的跳转，nop掉。 2007-9-9 12:04 0
mrowen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	mrowen 4 楼我是菜鸟,对这个实在不精通. 是BP CreateFileA吗? 谢谢 2007-9-9 12:13 0
msqsniper 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 48 粉丝 0 关注私信	msqsniper 5 楼就是把原来的文件不要脱壳的用OD载入，然后在把已经脱壳的也用OD载入，然后在OEP地方单步对照两个软件的代码，看那里有不同，正常状况是原来的文件有跳转或者没有跳转，脱壳后的边成没跳转或者跳转，把脱壳后的文件改成跟原一样的状况应该就可以了 2007-9-10 22:21 0
tomken 雪币： 1025 活跃值： (1007) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 107 粉丝 1 关注私信	tomken 6 楼这样也可以啊? 2007-9-11 23:23 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 7 楼 cmp file_size jnz xxxxxx hehe~ 或者你开两个od,一个加载原带壳的程序(运行到oep), 一个加载脱壳后的程序, f8一步步比较一下各个跳转,发现脱壳后的程序的某个跳转和原带壳程序的不一样(或者跳转实现与否)`,改了```````` 2007-9-12 11:12 0
msqsniper 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 48 粉丝 0 关注私信	msqsniper 8 楼这样的壳比较多可能是有附加代码,用编辑工具也可以对照一下看有没有数据丢了没有做，如果是有附加数据的那就要做数据修复了 2007-9-12 16:15 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 9 楼用C32ASM搜索字串进领空 2007-9-12 21:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复