请问这个该怎么下手-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼不要发重复的帖子脱壳正确？你得到的参数？ 2004-9-26 21:46 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 3 楼 SoftSENTRY壳,.如果程序采取没有注册码就无法运行的保护方案，就无法跟踪到OEP了想脱壳必须先知道注册码:( 2004-9-26 23:56 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼最初由 liuyilin 发布 SoftSENTRY壳,.如果程序采取没有注册码就无法运行的保护方案，就无法跟踪到OEP了想脱壳必须先知道注册码:( SoftSENTRY壳保护应该可以跳开注册部分走至OEP 具体看我以前的SoftSENTRY主程序脱壳 2004-9-26 23:58 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 5 楼最初由 fly 发布 SoftSENTRY壳保护应该可以跳开注册部分走至OEP 具体看我以前的SoftSENTRY主程序脱壳 3q 2004-9-27 00:17 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 004F2270 55 push //进入OD后暂停在这里 004F2271 8BEC mov ebp,esp 004F2273 83EC 78 sub esp,78 004F2276 53 push ebx 004F2277 56 push esi 004F2278 57 push edi 004F2279 E9 B0060000 jmp Unpacked.004F292E ――――――――――――――――――――――――――――――――― Ctrl+S：搜索命令序列： mov dword ptr ss:[ebp-4C],1 mov eax,dword ptr ss:[ebp+10] 004F2439 C745 B4 01000000 mov dword ptr ss:[ebp-4C],1 //找到这里 004F2440 8B45 10 mov eax,dword ptr ss:[ebp+10] 004F2443 A3 1CCC4F00 mov dword ptr ds:[4FCC1C],eax 004F2448 E8 C32E0000 call Unpacked.004F5310 004F244D 85C0 test eax,eax 004F244F 0F84 28010000 je Unpacked.004F257D //注意：这里不能跳！NOP掉 ★ //否则没有key不运行的SoftSENTRY保护程序是无法跟踪到OEP的！★ 004F2455 66:C705 10CE4F00 01>mov word ptr ds:[4FCE10],1 004F245E C705 F8CD4F00 01000>mov dword ptr ds:[4FCDF8],1 004F2468 8B0D 14CE4F00 mov ecx,dword ptr ds:[4FCE14] 004F246E 83E1 03 and ecx,3 004F2471 85C9 test ecx,ecx 004F2473 75 1C jnz short Unpacked.004F2491 ――――――――――――――――――――――――――――――――― Ctrl+F 在当前位置下搜索命令：call esi 004F2990 C707 00000000 mov dword ptr ds:[edi],0 004F2996 66:833D 10CE4F00 00 cmp word ptr ds:[4FCE10],0 004F299E 74 0C je short Unpacked.004F29AC 004F29A0 66:833D 9A924F00 00 cmp word ptr ds:[4F929A],0 004F29A8 74 02 je short Unpacked.004F29AC 004F29AA FFD6 call esi //飞向光明之巅！ :-) 004F29AC 5F pop edi 004F29AD 5E pop esi 004F29AE 5D pop ebp 004F29AF 5B pop ebx 004F29B0 C2 0400 retn 4 ――――――――――――――――――――――――――――――――― 004C5870 55 push ebp //在这儿用LordPE完全DUMP这个进程 004C5871 8BEC mov ebp,esp 004C5873 83C4 F0 add esp,-10 004C5876 B8 D0554C00 mov eax,Unpacked.004C55D0 004C587B E8 0412F4FF call Unpacked.00406A84 OEP: 000C5870 IATRVA: 000D31A0 IATSize: 000007E8 BTW:放程序请说明程序是干啥的，别简单丢个附件就完事脱壳后进入屏幕进入低分辨率，并且缺少文件无法运行 2004-9-27 02:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼说实话，这帖子应该流放八百里（不是牛肉）。。。 2004-9-27 07:29 0
chinaren 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 89 粉丝 0 关注私信	chinaren 8 楼实在抱歉各位这个东西各位看起来是很老套，我后来也用脱壳机脱了，可问题出现在了。。。。他好象要哪个自效验，，，问题就挂在这里了 2004-10-6 19:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼不要发重复的帖子脱壳正确？你得到的参数？ 2004-9-26 21:46 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 3 楼 SoftSENTRY壳,.如果程序采取没有注册码就无法运行的保护方案，就无法跟踪到OEP了想脱壳必须先知道注册码:( 2004-9-26 23:56 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼最初由 liuyilin 发布 SoftSENTRY壳,.如果程序采取没有注册码就无法运行的保护方案，就无法跟踪到OEP了想脱壳必须先知道注册码:( SoftSENTRY壳保护应该可以跳开注册部分走至OEP 具体看我以前的SoftSENTRY主程序脱壳 2004-9-26 23:58 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 5 楼最初由 fly 发布 SoftSENTRY壳保护应该可以跳开注册部分走至OEP 具体看我以前的SoftSENTRY主程序脱壳 3q 2004-9-27 00:17 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 004F2270 55 push //进入OD后暂停在这里 004F2271 8BEC mov ebp,esp 004F2273 83EC 78 sub esp,78 004F2276 53 push ebx 004F2277 56 push esi 004F2278 57 push edi 004F2279 E9 B0060000 jmp Unpacked.004F292E ――――――――――――――――――――――――――――――――― Ctrl+S：搜索命令序列： mov dword ptr ss:[ebp-4C],1 mov eax,dword ptr ss:[ebp+10] 004F2439 C745 B4 01000000 mov dword ptr ss:[ebp-4C],1 //找到这里 004F2440 8B45 10 mov eax,dword ptr ss:[ebp+10] 004F2443 A3 1CCC4F00 mov dword ptr ds:[4FCC1C],eax 004F2448 E8 C32E0000 call Unpacked.004F5310 004F244D 85C0 test eax,eax 004F244F 0F84 28010000 je Unpacked.004F257D //注意：这里不能跳！NOP掉 ★ //否则没有key不运行的SoftSENTRY保护程序是无法跟踪到OEP的！★ 004F2455 66:C705 10CE4F00 01>mov word ptr ds:[4FCE10],1 004F245E C705 F8CD4F00 01000>mov dword ptr ds:[4FCDF8],1 004F2468 8B0D 14CE4F00 mov ecx,dword ptr ds:[4FCE14] 004F246E 83E1 03 and ecx,3 004F2471 85C9 test ecx,ecx 004F2473 75 1C jnz short Unpacked.004F2491 ――――――――――――――――――――――――――――――――― Ctrl+F 在当前位置下搜索命令：call esi 004F2990 C707 00000000 mov dword ptr ds:[edi],0 004F2996 66:833D 10CE4F00 00 cmp word ptr ds:[4FCE10],0 004F299E 74 0C je short Unpacked.004F29AC 004F29A0 66:833D 9A924F00 00 cmp word ptr ds:[4F929A],0 004F29A8 74 02 je short Unpacked.004F29AC 004F29AA FFD6 call esi //飞向光明之巅！ :-) 004F29AC 5F pop edi 004F29AD 5E pop esi 004F29AE 5D pop ebp 004F29AF 5B pop ebx 004F29B0 C2 0400 retn 4 ――――――――――――――――――――――――――――――――― 004C5870 55 push ebp //在这儿用LordPE完全DUMP这个进程 004C5871 8BEC mov ebp,esp 004C5873 83C4 F0 add esp,-10 004C5876 B8 D0554C00 mov eax,Unpacked.004C55D0 004C587B E8 0412F4FF call Unpacked.00406A84 OEP: 000C5870 IATRVA: 000D31A0 IATSize: 000007E8 BTW:放程序请说明程序是干啥的，别简单丢个附件就完事脱壳后进入屏幕进入低分辨率，并且缺少文件无法运行 2004-9-27 02:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼说实话，这帖子应该流放八百里（不是牛肉）。。。 2004-9-27 07:29 0
chinaren 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 89 粉丝 0 关注私信	chinaren 8 楼实在抱歉各位这个东西各位看起来是很老套，我后来也用脱壳机脱了，可问题出现在了。。。。他好象要哪个自效验，，，问题就挂在这里了 2004-10-6 19:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复