脱壳后处理注册Pre-Dip

至于如何处理
看以前的相关帖子

多用搜索

老大真是好人一个，谢谢老大的指点．我再去看看这个软件．

最初由 fly 发布
脱壳后处理注册Pre-Dip

至于如何处理
看以前的相关帖子

........

我已经参照论坛里面的文章成功脱壳并修复，但程序运行后却少了菜单里面的字符而且不能正常退出．还得请fly老大再指点一下．顺便附上我脱壳后的程序和运行的图片．

附件:unpack.part1.rar

附件:unpack.part2.rar

附件:unpack.part3.rar

可能有某些检验
看脱壳后的程序是不明确的
附上原版链接
有兴趣的兄弟看看

最初由 fly 发布
可能有某些检验
看脱壳后的程序是不明确的
附上原版链接
有兴趣的兄弟看看

原版下载地址
http://www.superdown.com/soft/5740.htm

用stripper v2.07自动脱壳

然后修改：
00681CE1     FF15 C0376A00       call dword ptr ds:[6A37C0]
把[6A37C0]处的值修改为：0068144C
这样就能看到所有菜单了

奇怪了，我手脱后 00681CE1     FF15 C0376A00       call dword ptr ds:[6A37C0]   把[6A37C0]处的值修改为：0068144C
但菜单显示不正常，不能退出。何故？

根据中华人民共和国中秋节法，判看雪老大、fly老大等全体看雪学院的朋友们快乐无期徒刑，剥夺郁闷权终身，并处没收全部寂寞与烦恼，此审为终审判决，你们无权上诉立即执行，祝中秋快乐！:D

最初由 lucktiger 发布
奇怪了，我手脱后 00681CE1 FF15 C0376A00 call dword ptr ds:[6A37C0] 把[6A37C0]处的值修改为：0068144C
但菜单显示不正常，不能退出。何故？

一定要用stripper207f脱壳后修改[6A37C0]处的值修改为：0068144C才可以。
至于怎么去掉NAG窗口还得要向FLY老大请教．

最初由 fly 发布
用stripper v2.07自动脱壳

然后修改：
00681CE1 FF15 C0376A00 call dword ptr ds:[6A37C0]
把[6A37C0]处的值修改为：0068144C
........

真是走运，这个东西居然能被脱壳机脱掉，试试其它的产品看看，我记得是有SDK的ASRP.

fly老大能再给点去ＮＡＧ窗口的思路吗？：）

ＦＬＹ老大，我ＯＤ跟到0044F549发现调用ＮＡＧ窗口，不管我是0044F52D处调过ＮＡＧ处还是nop掉ＮＡＧ处，程序一运行又跟以前一样所有的菜单都不见了．这该怎样处理？

0044F517       90                nop
0044F518    .  55                push ebp
0044F519    .  8BEC              mov ebp,esp
0044F51B    .  51                push ecx
0044F51C    .  53                push ebx
0044F51D    .  56                push esi
0044F51E    .  57                push edi
0044F51F    .  8945 FC           mov dword ptr ss:[ebp-4],eax
0044F522    .  8B45 FC           mov eax,dword ptr ss:[ebp-4]
0044F525    .  66:83B8 BA020000 >cmp word ptr ds:[eax+2BA],0
0044F52D    .  74 41             je short unpack.0044F570
0044F52F    .  33C0              xor eax,eax
0044F531    .  55                push ebp
0044F532    .  68 59F54400       push unpack.0044F559
0044F537    .  64:FF30           push dword ptr fs:[eax]
0044F53A    .  64:8920           mov dword ptr fs:[eax],esp
0044F53D    .  8B5D FC           mov ebx,dword ptr ss:[ebp-4]
0044F540    .  8B55 FC           mov edx,dword ptr ss:[ebp-4]
0044F543       8B83 BC020000     mov eax,dword ptr ds:[ebx+2BC]
0044F549    .  FF93 B8020000     call dword ptr ds:[ebx+2B8]　　这里调用ＮＡＧ窗口
0044F54F    .  33C0              xor eax,eax
0044F551    .  5A                pop edx
0044F552    .  59                pop ecx
0044F553    .  59                pop ecx
0044F554    .  64:8910           mov dword ptr fs:[eax],edx
0044F557    .  EB 17             jmp short unpack.0044F570

怪了，在此处标明的地址下载的用stripper得到的oep等不一致！版本不同？我得到的是2.04

最初由 jingulong 发布
怪了，在此处标明的地址下载的用stripper得到的oep等不一致！版本不同？我得到的是2.04

这是因为上个星期还是２.０１版现在已经更新到２.０４版．令人头晕的是还没破掉就已经出2.04版．

加把劲，没问题的:D

最初由 jingulong 发布
加把劲，没问题的:D

已经搞了一个星期了就是不知道怎样去除它的ＮＡＧ窗口，郁闷呀！！！
希望各位大佬给点提示．

如果你做的是2.04，可以告诉你

2.04我刚已经重新脱壳，就是跟２.０１一样不知道怎样去ＮＡＧ．还望大佬指点迷途中的小黑狗：）

用stripper v2.07自动脱壳
然后修改：
1.[006AF8DC]  94 CD 68 00
2.[006784F8]  66 31 45 00

最初由 jingulong 发布
用stripper v2.07自动脱壳
然后修改：
1.[006AF8DC] 94 CD 68 00
2.[006784F8] 66 31 45 00

我知道.[006AF8DC]这里的修改数据你是通过跟踪带壳的程序得出来的，那.[006784F8]这里的修改数据你是怎么知道的呢？希望大佬不要觉得我很烦人：）

最初由 黑狗 发布


我知道.[006AF8DC]这里的修改数据你是通过跟踪带壳的程序得出来的，那.[006784F8]这里的修改数据你是怎么知道的呢？希望大佬不要觉得我很烦人：）

还有5页限制，批处理功能限制呢，呵呵