能力值:
( LV2,RANK:10 )
|
-
-
2 楼
卡巴斯基报有Worm.Win32.AutoRun.he 病毒
|
能力值:
( LV8,RANK:130 )
|
-
-
3 楼
upxfix UPXShell
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
入口
007DB68A > 60 pushad
007DB68B BE 00908B00 mov esi,8B9000 ***hr esp
按三次F9 然后F8就到了
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
楼上的兄弟是不是F8下面一句用ESP定律,然后F9我照做了,可是程序运行了
007DB68B BE 00908B00 mov esi,8B9000 ***hr esp 刚才试了脱是脱掉了但是运行出错,也用ImportREC修复过了
要不您给脱了放上来我对比一下哪儿出错了
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
为什么dump时没有响应了呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
找到OEP就没脱。。 用EXEINFOPE说是RLPACK
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
搞定了。 ESP定律到OEP 然后dump 修复IAT 剪掉所有无效的。。 不要关OD
开另外一个OD 然后忽略除了内存访问和指定以外的所有异常。 shift+f9运行 在堆栈返回 找到上面的一个CALL 回车进入 然后应该是
00407264 - FF25 B8325E00 jmp dword ptr ds:[5E32B8]
这样的代码 看注释窗口 例如:ds:[005E32B8]=00DC047E (好像每台机器都不一样 要么就是会变)
用LORDPE把DC0000给Dump下来补上重建一下就可以了
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
唉、楼上兄弟那些无效指针修复全部就会卡掉了,你的是意思是全部剪切掉保存吗?
你说再开一个OD是导入原程序还是脱掉的文件。
还有后面你说得那些看得一知半解,水平太差没办法。
兄弟你方便的话加我QQ:1553895请教非常感谢!
不方便请把脱掉的EXE文件上传或着我的邮箱:nuwin@126.com
漫步在此再次感谢您!
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
自动查找IAT不是会有无效指针吗 全部剪切掉就可以
再开OD载入修复完但是不能运行的那个文件。。
|
|
|