能力值:
(RANK:1060 )
|
-
-
2 楼
应该说价格1000刀
|
能力值:
(RANK:1060 )
|
-
-
3 楼
好恐怖的重定位, 不过连 IAT 都不加密算啥.
7FF79E24 55 PUSH EBP
7FF79E25 8BEC MOV EBP, ESP
7FF79E27 6A FF PUSH -1
7FF79E29 68 80BEF87F PUSH 7FF8BE80
7FF79E2E 68 C09BF77F PUSH 7FF79BC0
7FF79E33 64:A1 00000000 MOV EAX, FS:[0]
7FF79E39 50 PUSH EAX
7FF79E3A 64:8925 0000000>MOV FS:[0], ESP
7FF79E41 83EC 10 SUB ESP, 10
7FF79E44 53 PUSH EBX
7FF79E45 56 PUSH ESI
7FF79E46 57 PUSH EDI
7FF79E47 8965 E8 MOV [EBP-18], ESP
7FF79E4A FF15 7062F87F CALL [7FF86270] ; kernel32.GetVersion
7FF79E50 33D2 XOR EDX, EDX
7FF79E52 8AD4 MOV DL, AH
7FF79E54 8915 8060F97F MOV [7FF96080], EDX
7FF79E5A 8BC8 MOV ECX, EAX
7FF79E5C 81E1 FF000000 AND ECX, 0FF
7FF79E62 890D 7C60F97F MOV [7FF9607C], ECX
7FF79E68 C1E1 08 SHL ECX, 8
7FF79E6B 03CA ADD ECX, EDX
7FF79E6D 890D 7860F97F MOV [7FF96078], ECX
7FF79E73 C1E8 10 SHR EAX, 10
7FF79E76 A3 7460F97F MOV [7FF96074], EAX
7FF79E7B 6A 00 PUSH 0
7FF79E7D E8 8E200000 CALL 7FF7BF10
7FF79E82 59 POP ECX
7FF79E83 85C0 TEST EAX, EAX
7FF79E85 75 08 JNZ SHORT 7FF79E8F
7FF79E87 6A 1C PUSH 1C
7FF79E89 E8 9A000000 CALL 7FF79F28
7FF79E8E 59 POP ECX
7FF79E8F 8365 FC 00 AND DWORD PTR [EBP-4], 0
7FF79E93 E8 581D0000 CALL 7FF7BBF0
7FF79E98 FF15 9C60F87F CALL [7FF8609C] ; kernel32.GetCommandLineA
7FF79E9E A3 A466F97F MOV [7FF966A4], EAX
7FF79EA3 E8 161C0000 CALL 7FF7BABE
7FF79EA8 A3 B460F97F MOV [7FF960B4], EAX
7FF79EAD E8 BF190000 CALL 7FF7B871
7FF79EB2 E8 01190000 CALL 7FF7B7B8
7FF79EB7 E8 DCFDFFFF CALL 7FF79C98
7FF79EBC A1 9060F97F MOV EAX, [7FF96090]
7FF79EC1 A3 9460F97F MOV [7FF96094], EAX
7FF79EC6 50 PUSH EAX
7FF79EC7 FF35 8860F97F PUSH DWORD PTR [7FF96088]
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
最初由 forgot 发布 好恐怖的重定位, 不过连 IAT 都不加密算啥. 7FF79E24 55 PUSH EBP 7FF79E25 8BEC MOV EBP, ESP 7FF79E27 6A FF PUSH -1 7FF79E29 68 80BEF87F PUSH 7FF8BE80 ........
所以说是弱弱的,HOHO
|
能力值:
(RANK:1060 )
|
-
-
5 楼
交出来搞主程序
不好意思没看出双进程,hoho
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
最初由 forgot 发布 交出来搞主程序
汗,估计你会累死。HOHO。
主程序官方有下,自己去下就是了。
www.Thinstall.com
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
最初由 forgot 发布 交出来搞主程序
不好意思没看出双进程,hoho
其实并没有双进程,HOHO,那是我动手脚搞的。
|
能力值:
(RANK:1060 )
|
-
-
9 楼
不明白, 双进程是干啥的?
还是这个打包程序自带的?
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
最初由 forgot 发布 不明白, 双进程是干啥的? 还是这个打包程序自带的?
多玩玩就会了
|
能力值:
(RANK:1060 )
|
-
-
11 楼
怎么感觉一个PE包了多个文件...
SectionHeaders没有空间留下,变态
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
最初由 forgot 发布 怎么感觉一个PE包了多个文件... SectionHeaders没有空间留下,变态
不要说人家变态嘛,人家也是为了精简程序,节约内存嘛。:D
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
7FF79E24 55 PUSH EBP
7FF79E25 8BEC MOV EBP, ESP
7FF79E27 6A FF PUSH -1
7FF79E29 68 80BEF87F PUSH 7FF8BE80
7FF79E2E 68 C09BF77F PUSH 7FF79BC0
7FF79E33 64:A1 00000000 MOV EAX, FS:[0]
7FF79E39 50 PUSH EAX
7FF79E3A 64:8925 0000000>MOV FS:[0], ESP
7FF79E41 83EC 10 SUB ESP, 10
7FF79E44 53 PUSH EBX
在这DUMP后无法重建IAT呀?
怎么办
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
最初由 liuyilin 发布 7FF79E24 55 PUSH EBP 7FF79E25 8BEC MOV EBP, ESP 7FF79E27 6A FF PUSH -1 7FF79E29 68 80BEF87F PUSH 7FF8BE80 7FF79E2E 68 C09BF77F PUSH 7FF79BC0 ........
汗,IAT直接看程序就能得到98%左右。剩下的调一调就可以了。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
7FF79E24 55 PUSH EBP
7FF79E25 8BEC MOV EBP, ESP
7FF79E27 6A FF PUSH -1
7FF79E29 68 80BEF87F PUSH 7FF8BE80
7FF79E2E 68 C09BF77F PUSH 7FF79BC0
7FF79E33 64:A1 00000000 MOV EAX, FS:[0]
7FF79E39 50 PUSH EAX
7FF79E3A 64:8925 0000000>MOV FS:[0], ESP
7FF79E41 83EC 10 SUB ESP, 10
7FF79E44 53 PUSH EBX
为什么OD在这DUMP后,用OD载入DUMP文件找不到7FF79E24
是否ANTI-DUMP
多谢
|
能力值:
(RANK:1060 )
|
-
-
16 楼
bt修复出来是个dos loader...重点不在这里。。。
怎么分解进程。我伪造map失败了,55555555
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
最初由 forgot 发布 bt修复出来是个dos loader...重点不在这里。。。 怎么分解进程。我伪造map失败了,55555555
人家是专利技术,这么简单就分解,人家还卖1000多美元的货,我前面说了,这不是壳,但封装后却比壳更滑稽。:D
不过这个东西我可以秒脱,因为幸好没有用特征密码串加密,否则就汗了。
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
最初由 liuyilin 发布 7FF79E24 55 PUSH EBP 7FF79E25 8BEC MOV EBP, ESP 7FF79E27 6A FF PUSH -1 7FF79E29 68 80BEF87F PUSH 7FF8BE80 7FF79E2E 68 C09BF77F PUSH 7FF79BC0 ........
:D 很多人认为这里是OEP,所以DUMP,你也不看看现在是在什么区域。
|
能力值:
(RANK:1060 )
|
-
-
19 楼
如果文件很多,比如主程序,你能修复么?
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
最初由 forgot 发布 如果文件很多,比如主程序,你能修复么?
所以说,我没有脱,打的是内存补丁破解。前面我说了,主程序你会吐血。
|
能力值:
( LV4,RANK:50 )
|
-
-
21 楼
这样高的重定位地址,怎么DUMP?哪位兄台有好方法?是不是要写程序来修理DUMP出来的文件,把修复的DUMP文件写到00400000类的低地址中啊
|
能力值:
(RANK:1060 )
|
-
-
22 楼
最初由 鸡蛋壳 发布
所以说,我没有脱,打的是内存补丁破解。前面我说了,主程序你会吐血。
补丁功能全?
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
最初由 forgot 发布
补丁功能全?
汗,劳驾搜索一下我的罐水贴,有说的很明白了。
|
|
|