应该是关于自较验的问题吧!!请帮助我...谢谢-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

应该是关于自较验的问题吧!!请帮助我...谢谢

2004-10-24 16:45 4958

应该是关于自较验的问题吧!!请帮助我...谢谢

peaceworld 活跃值

2004-10-24 16:45

4958

附图是程序运行画面,仅单一程序免安装..查了是 ASPack 2.12b 加壳用脱壳机脱了.也能用汉化工具检视资源,,估计已脱壳(虽对其 OEP 位置有点疑惑)但程序已无法运行小弟判断认为有较验,分别载入原程序与脱壳程序下断 bp CreateFileA 比对,在堆栈窗体发现像是会检测调试工具.最后还是无法毕竟其功,所以请大家方便的话指点小弟如何动作能解决此一问题?

程序下载:

http://peaceyenleon.hoops.ne.jp/TMPGEnc3XP.rar

或是底下(3个都要下载)

http://www.peaceworld.szm.sk/TMPGEnc3XP.part1.rar

http://www.peaceworld.szm.sk/TMPGEnc3XP.part2.rar

http://www.peaceworld.szm.sk/TMPGEnc3XP.part3.rar

无法下载请告诉小弟,再另寻空间...又麻烦大家了...谢谢

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・2

点赞・1

打赏

最新回复 (14)
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-10-24 19:08 2 楼 0 无法下载自己先多试试
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-10-24 19:38 3 楼 0 最初由 fly 发布无法下载自己先多试试嗯!!先说声谢谢,我已经新增连结,如 FLY 兄弟方便的话请再试着下载帮助小弟..."无奈资质平平,尝试多次仍旧无功..."
iamuranus 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	iamuranus 2004-10-24 22:29 4 楼 0 我也碰到这个问题。可惜我在汉化新世纪论坛发贴，没人帮我。以下是原文：第一贴：小弟想汉化 TMPGEnc3XP，可惜不懂汇编，希望哪位大侠帮忙脱一下它的壳。加壳信息：用PEiD 0.92 (总觉得结果好象不太正确) ―――――――――――――――――――――――― 入口点：005c7001 EP 区段： .aspack 文件偏移量：0016B201 首字节：90,60,E8,03 连接器版本：2.25 子系统：Win32 GUI ASPack 2.21b -> Alexey Solodovnikov [Overlay] ―――――――――――――――――――――――― 用 CASPR 无法脱，提示不支持该加壳版本；用 stripper 2.07 脱壳后无法运行，2.11版本不能脱，并提示 - error in finding last SEH, (drn == 0).. 用 AspackDie1.41脱完后无法运行，脱壳时提示尾端有额外数据。用 freeres 0.94 能释放数据，但建立可编辑数据后，文件无法运行。小弟不懂汇编，实在无能为力，请各位大侠帮忙脱一下。软件下载地址：http://down.fangdown.com/soft/2523.htm 第二贴：花了1天时间研究OLLYDbg，用OLLYDbg 手工脱壳后用插件的两个方式各DUMP出一个程序，再分别用importREC处理保存完后，还是不能运行。郁闷中... 各位老大，请教教我该怎么做。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-10-25 00:26 5 楼 0 自校验N多 :o
iamuranus 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	iamuranus 2004-10-25 09:13 6 楼 0 没想到我这个菜鸟头一次学脱壳就遇到这么个难题。 fly 老大，麻烦你研究研究，也好给我们上一堂课。
csjwaman 雪币： 319 活跃值： (2329) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 880 粉丝 10 关注私信	csjwaman 24 2004-10-25 09:59 7 楼 0 007288E5 \|. 33C0 XOR EAX,EAX 007288E7 \|. 55 PUSH EBP 007288E8 \|. 68 29897200 PUSH dumped_.00728929 007288ED \|. 64:FF30 PUSH DWORD PTR FS:[EAX] 007288F0 \|. 64:8920 MOV DWORD PTR FS:[EAX],ESP 007288F3 \|. 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4] 007288F6 \|. A1 481C7900 MOV EAX,DWORD PTR DS:[791C48] 007288FB \|. 8B00 MOV EAX,DWORD PTR DS:[EAX] 007288FD \|. E8 A281D6FF CALL dumped_.00490AA4 00728902 \|. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 00728905 \|. E8 AEFBFFFF CALL dumped_.007284B8 0072890A 84C0 TEST AL,AL=============================>改为INC　AL　程序可以运行。但是不是有其他限制，没有研究。 0072890C \|. 75 05 JNZ SHORT dumped_.00728913 0072890E \|. E8 75B8CDFF CALL dumped_.00404188 00728913 \|> 33C0 XOR EAX,EAX 00728915 \|. 5A POP EDX ; kernel32.77E71AF6 00728916 \|. 59 POP ECX ; kernel32.77E71AF6 00728917 \|. 59 POP ECX ; kernel32.77E71AF6 00728918 \|. 64:8910 MOV DWORD PTR FS:[EAX],EDX 0072891B \|. 68 30897200 PUSH dumped_.00728930 00728920 \|> 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
iamuranus 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	iamuranus 2004-10-26 11:52 8 楼 0 csjwaman大哥，小弟修改后不知如何保存文件，恕我菜鸟一个，实在找不到保存选项。
iamuranus 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	iamuranus 2004-10-26 13:24 9 楼 0 请问这有何含义？ Protection: multi rsa-256+md5+base32+20bit hash Serial
lucktiger 雪币： 5180 活跃值： (2122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 259 粉丝 1 关注私信	lucktiger 2004-10-26 13:54 10 楼 0 几种算法
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-10-26 14:36 11 楼 0 最初由 csjwaman 发布 007288FD \|. E8 A281D6FF CALL dumped_.00490AA4 00728902 \|. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 00728905 \|. E8 AEFBFFFF CALL dumped_.007284B8 0072890A 84C0 TEST AL,AL=============================>改为INC　AL　程序可以运行。但是不是有其他限制，没有研究。 0072890C \|. 75 05 JNZ SHORT dumped_.00728913 0072890E \|. E8 75B8CDFF CALL dumped_.00404188 00728913 \|> 33C0 XOR EAX,EAX ........ 谢谢.非常感谢贵兄的回应...想在追问一下...是下何断点找到此关键跳转呢??
csjwaman 雪币： 319 活跃值： (2329) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 880 粉丝 10 关注私信	csjwaman 24 2004-10-26 15:31 12 楼 0 TO　iamuranus：看OD的使用说明。 TO　 peaceworld ：bp CreateFileA
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-10-26 16:57 13 楼 0 最初由 csjwaman 发布 TO　 peaceworld ：bp CreateFileA 谢谢阁下再次回应,小弟也是下此断点,但是却过不了下图光棒处位置,脱壳程序 F4 到下一行会出错,原程序则顺利到下一行,又如何到达贵兄所说的 "0072890A 84C0 TEST AL,AL=============================>改为INC　AL　程序可以运行。但是不是有其他限制，没有研究。"....方便的话可否再次说明...谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-10-26 17:00 14 楼 0 这里只是第一个检验点后面还有很多有耐心可以看下去否则就不必费时间了
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-10-26 19:13 15 楼 0 最初由 fly 发布这里只是第一个检验点后面还有很多有耐心可以看下去否则就不必费时间了嗯!!谢谢.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

peaceworld

发帖

回帖

RANK

关注

私信

他的文章

[求助]如何固定OD窗体栏位,谢谢...

[求助]关于 VB 程序自较验问题...谢谢

请问这样的 Arm 加密设定(有图)是怎样的加密...谢谢

应该是关于自较验的问题吧!!请帮助我...谢谢

关于 PESpin 0.3 脱壳问题...谢谢

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-10-24 19:08 2 楼 0 无法下载自己先多试试
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-10-24 19:38 3 楼 0 最初由 fly 发布无法下载自己先多试试嗯!!先说声谢谢,我已经新增连结,如 FLY 兄弟方便的话请再试着下载帮助小弟..."无奈资质平平,尝试多次仍旧无功..."
iamuranus 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	iamuranus 2004-10-24 22:29 4 楼 0 我也碰到这个问题。可惜我在汉化新世纪论坛发贴，没人帮我。以下是原文：第一贴：小弟想汉化 TMPGEnc3XP，可惜不懂汇编，希望哪位大侠帮忙脱一下它的壳。加壳信息：用PEiD 0.92 (总觉得结果好象不太正确) ―――――――――――――――――――――――― 入口点：005c7001 EP 区段： .aspack 文件偏移量：0016B201 首字节：90,60,E8,03 连接器版本：2.25 子系统：Win32 GUI ASPack 2.21b -> Alexey Solodovnikov [Overlay] ―――――――――――――――――――――――― 用 CASPR 无法脱，提示不支持该加壳版本；用 stripper 2.07 脱壳后无法运行，2.11版本不能脱，并提示 - error in finding last SEH, (drn == 0).. 用 AspackDie1.41脱完后无法运行，脱壳时提示尾端有额外数据。用 freeres 0.94 能释放数据，但建立可编辑数据后，文件无法运行。小弟不懂汇编，实在无能为力，请各位大侠帮忙脱一下。软件下载地址：http://down.fangdown.com/soft/2523.htm 第二贴：花了1天时间研究OLLYDbg，用OLLYDbg 手工脱壳后用插件的两个方式各DUMP出一个程序，再分别用importREC处理保存完后，还是不能运行。郁闷中... 各位老大，请教教我该怎么做。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-10-25 00:26 5 楼 0 自校验N多 :o
iamuranus 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	iamuranus 2004-10-25 09:13 6 楼 0 没想到我这个菜鸟头一次学脱壳就遇到这么个难题。 fly 老大，麻烦你研究研究，也好给我们上一堂课。
csjwaman 雪币： 319 活跃值： (2329) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 880 粉丝 10 关注私信	csjwaman 24 2004-10-25 09:59 7 楼 0 007288E5 \|. 33C0 XOR EAX,EAX 007288E7 \|. 55 PUSH EBP 007288E8 \|. 68 29897200 PUSH dumped_.00728929 007288ED \|. 64:FF30 PUSH DWORD PTR FS:[EAX] 007288F0 \|. 64:8920 MOV DWORD PTR FS:[EAX],ESP 007288F3 \|. 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4] 007288F6 \|. A1 481C7900 MOV EAX,DWORD PTR DS:[791C48] 007288FB \|. 8B00 MOV EAX,DWORD PTR DS:[EAX] 007288FD \|. E8 A281D6FF CALL dumped_.00490AA4 00728902 \|. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 00728905 \|. E8 AEFBFFFF CALL dumped_.007284B8 0072890A 84C0 TEST AL,AL=============================>改为INC　AL　程序可以运行。但是不是有其他限制，没有研究。 0072890C \|. 75 05 JNZ SHORT dumped_.00728913 0072890E \|. E8 75B8CDFF CALL dumped_.00404188 00728913 \|> 33C0 XOR EAX,EAX 00728915 \|. 5A POP EDX ; kernel32.77E71AF6 00728916 \|. 59 POP ECX ; kernel32.77E71AF6 00728917 \|. 59 POP ECX ; kernel32.77E71AF6 00728918 \|. 64:8910 MOV DWORD PTR FS:[EAX],EDX 0072891B \|. 68 30897200 PUSH dumped_.00728930 00728920 \|> 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
iamuranus 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	iamuranus 2004-10-26 11:52 8 楼 0 csjwaman大哥，小弟修改后不知如何保存文件，恕我菜鸟一个，实在找不到保存选项。
iamuranus 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	iamuranus 2004-10-26 13:24 9 楼 0 请问这有何含义？ Protection: multi rsa-256+md5+base32+20bit hash Serial
lucktiger 雪币： 5180 活跃值： (2122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 259 粉丝 1 关注私信	lucktiger 2004-10-26 13:54 10 楼 0 几种算法
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-10-26 14:36 11 楼 0 最初由 csjwaman 发布 007288FD \|. E8 A281D6FF CALL dumped_.00490AA4 00728902 \|. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 00728905 \|. E8 AEFBFFFF CALL dumped_.007284B8 0072890A 84C0 TEST AL,AL=============================>改为INC　AL　程序可以运行。但是不是有其他限制，没有研究。 0072890C \|. 75 05 JNZ SHORT dumped_.00728913 0072890E \|. E8 75B8CDFF CALL dumped_.00404188 00728913 \|> 33C0 XOR EAX,EAX ........ 谢谢.非常感谢贵兄的回应...想在追问一下...是下何断点找到此关键跳转呢??
csjwaman 雪币： 319 活跃值： (2329) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 880 粉丝 10 关注私信	csjwaman 24 2004-10-26 15:31 12 楼 0 TO　iamuranus：看OD的使用说明。 TO　 peaceworld ：bp CreateFileA
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-10-26 16:57 13 楼 0 最初由 csjwaman 发布 TO　 peaceworld ：bp CreateFileA 谢谢阁下再次回应,小弟也是下此断点,但是却过不了下图光棒处位置,脱壳程序 F4 到下一行会出错,原程序则顺利到下一行,又如何到达贵兄所说的 "0072890A 84C0 TEST AL,AL=============================>改为INC　AL　程序可以运行。但是不是有其他限制，没有研究。"....方便的话可否再次说明...谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-10-26 17:00 14 楼 0 这里只是第一个检验点后面还有很多有耐心可以看下去否则就不必费时间了
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-10-26 19:13 15 楼 0 最初由 fly 发布这里只是第一个检验点后面还有很多有耐心可以看下去否则就不必费时间了嗯!!谢谢.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复