-
-
[旧帖]
[求助]MoleBox V2.3X -> MoleStudio.com * Sign.By.fly [覆盖]脱壳的问题,我现在只能在这发贴?
0.00雪花
-
发表于:
2008-3-15 10:09
5518
-
[旧帖] [求助]MoleBox V2.3X -> MoleStudio.com * Sign.By.fly [覆盖]脱壳的问题,我现在只能在这发贴?
0.00雪花
如上题?
Aone Movie DVD Maker 2_4_0110软件在这下载:
http://www.onlinedown.net/soft/41524.htm
参照CCDebuger大侠MoleBox 脱壳的一些总结, http://bbs.pediy.com/showthread.php?t=42700
我按此方法查看捆绑文件文件数目,却是这么回事,请高手指点一下,
我的做法是:BP GetFileTime->F9->断在kernel32空间->alt+F9返回,
结果返回到下面这个样,返回的首地址是00629CCA :
00629CCA C7 DB C7
00629CCB 45 DB 45 ; CHAR 'E'
00629CCC AC DB AC
00629CCD 00 DB 00
00629CCE 00 DB 00
00629CCF 00 DB 00
00629CD0 00 DB 00
00629CD1 EB DB EB
00629CD2 09 DB 09
00629CD3 8B DB 8B
00629CD4 4D DB 4D ; CHAR 'M'
00629CD5 AC DB AC
00629CD6 83 DB 83
00629CD7 C1 DB C1
00629CD8 01 DB 01
00629CD9 89 DB 89
00629CDA 4D DB 4D ; CHAR 'M'
00629CDB AC DB AC
00629CDC 8B DB 8B
00629CDD 55 DB 55 ; CHAR 'U'
00629CDE AC DB AC
00629CDF 3B DB 3B ; CHAR ';'
00629CE0 55 DB 55 ; CHAR 'U'
00629CE1 9C DB 9C
00629CE2 0F DB 0F
00629CE3 83 DB 83
00629CE4 E3 DB E3
00629CE5 00 DB 00
00629CE6 00 DB 00
00629CE7 00 DB 00
00629CE8 8B DB 8B
00629CE9 45 DB 45 ; CHAR 'E'
00629CEA AC DB AC
00629CEB C1 DB C1
00629CEC E0 DB E0
00629CED 04 DB 04
我又按文中的方法查:参与运行的可执行文件,也老返回到这地方?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
