-
-
[求助]脱eXPressor 1.3.0后的修复问题
-
发表于: 2007-9-27 20:21
-
有个程序,用peid查壳是eXPressor 1.3.0,用OD载入
004DC729 >/$ 55 push ebp //用OD载入后停在这里
004DC72A |. 8BEC mov ebp, esp //F8到这里后发现能用ESP定律
004DC72C |. 83EC 64 sub esp, 64
004DC72F |. 53 push ebx
004DC730 |. 56 push esi
004DC731 |. 57 push edi
004DC732 |. EB 0C jmp short 004DC740
004DC734 | 45 db 45 ; CHAR 'E'
使用ESP定律后,一路F8往下走,直到这里
004AAC13 68 00010000 push 100
004AAC18 57 push edi //这里就到站了,OEP从用OD内存中DUMP出来
004AAC19 FF95 DFFDFFFF call dword ptr [ebp-221]
004AAC1F 55 push ebp ; 01.004AA9E9
004AAC20 5B pop ebx
004AAC21 81EB 15000000 sub ebx, 15
004AAC27 33C9 xor ecx, ecx
运行DUMP出来的程序,发现不能运行,程序不是有效的win32程序.肯定是程序被破坏了,用peid自带的插件Rebuild PE修复后,能运行了,但是用peid查壳显示的是 什么都没找到 *,用深度扫描和核心扫描模式能发现是VC++写的程序,但是当我用ResScope1.94查看资源的时候弹出了这个提示框
也不能修改它的资源.
现在我想做的是要完整修复这个程序,使得能用ResScope1.94修改资源,要怎么做才能完整修复这个程序呀?各位大哥帮下小弟吧!
我有个小建议,那就是应该增加一个"其它壳"这样的一个子面版,那样才好,不然我的这个贴子都不懂发到哪里合适了.
004DC729 >/$ 55 push ebp //用OD载入后停在这里
004DC72A |. 8BEC mov ebp, esp //F8到这里后发现能用ESP定律
004DC72C |. 83EC 64 sub esp, 64
004DC72F |. 53 push ebx
004DC730 |. 56 push esi
004DC731 |. 57 push edi
004DC732 |. EB 0C jmp short 004DC740
004DC734 | 45 db 45 ; CHAR 'E'
使用ESP定律后,一路F8往下走,直到这里
004AAC13 68 00010000 push 100
004AAC18 57 push edi //这里就到站了,OEP从用OD内存中DUMP出来
004AAC19 FF95 DFFDFFFF call dword ptr [ebp-221]
004AAC1F 55 push ebp ; 01.004AA9E9
004AAC20 5B pop ebx
004AAC21 81EB 15000000 sub ebx, 15
004AAC27 33C9 xor ecx, ecx
运行DUMP出来的程序,发现不能运行,程序不是有效的win32程序.肯定是程序被破坏了,用peid自带的插件Rebuild PE修复后,能运行了,但是用peid查壳显示的是 什么都没找到 *,用深度扫描和核心扫描模式能发现是VC++写的程序,但是当我用ResScope1.94查看资源的时候弹出了这个提示框
也不能修改它的资源.现在我想做的是要完整修复这个程序,使得能用ResScope1.94修改资源,要怎么做才能完整修复这个程序呀?各位大哥帮下小弟吧!
我有个小建议,那就是应该增加一个"其它壳"这样的一个子面版,那样才好,不然我的这个贴子都不懂发到哪里合适了.
|
|
|---|---|
|
|
|
|
|
|
|
|
|
