[求助]用OD同种版本的壳产生两种不同的结果-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 2 楼异常的设置问题吧 2008-4-10 17:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼请给出两个文件的下载链接。 2008-4-10 17:33 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 4 楼 http://www.pediy.com/tutorial/chap8/Chap8-4-2.htm这是那个没有脱成功的, http://bbs.pediy.com/upload/bbs/unpackfaq/notepad.upx.rar这是那个脱成功了的, 都是看雪论坛的教程,本人比较菜 2008-4-10 17:41 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 5 楼 Chap8-4-2中的notepad-upx.exe，跑到OEP（00401000）后，用OD的脱壳调试进程，dump下来的的确不能运行，提示“应用程序正常初始化(0xc000007b)失败” 于是我改用另一种方式，在LordPE中把内存镜像完整转存，然后用ImportREC修复IAT（同时也修改了入口点偏移为1000），修复后的程序正常运行（在附件）。这说明脱壳并没有问题，不知道是否是OD的问题？上传的附件： dumped_.rar （18.57kb，10次下载） 2008-4-10 21:16 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 6 楼另外这两个记事本的文件版本是不一样的，从而OEP也是不一样的。 2008-4-10 21:18 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 7 楼谢谢大家,我是菜鸟,不太会刚才高手说的那个,我初来看雪,感觉大家真的很热心,谢谢, 如果刚才那位高手有时间的话能不能把过程写具体一点, 2008-4-10 21:51 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼 OD里跑到OEP这个不用说了吧：然后打开LordPE，在进程列表中选中被调试的Notepad-upx.exe进程，下面的模块列表中在Notepad-upx.exe上右键点“完整转存”，保存为dumped.exe: 这样映像文件就dump下来了，接下来是修复输入表。使用ImportREC，在Attah to an Active Process的下拉列表中选中被调试的Notepad-upx.exe进程，之后在OEP框中把数值改为00001000（即OEP偏移）之后点击IAT AutoSearch，会提示你Found Something，点确定后，再点Get Imports，会看到找到五个dll的输入表项，而且全是可用的。这样再点fix dump，对话框中选中刚刚转存出来的dumped.exe，就会提示成功生成dumped_.exe dumped_.exe就是修复完的文件，可以正常运行。这些都是基本的操作，只是楼主要求要详细点，那我就罗嗦一下了。上传的附件： pediy1.jpg （20.30kb，43次下载） pediy2.jpg （16.31kb，43次下载） pediy3.jpg （8.60kb，43次下载） 2008-4-10 22:16 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 9 楼最主要的是我够菜,修复这些东西还不太清楚,所以要步骤清楚一些才能看懂,麻烦了好详细的步骤,太感动了 2008-4-11 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 2 楼异常的设置问题吧 2008-4-10 17:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼请给出两个文件的下载链接。 2008-4-10 17:33 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 4 楼 http://www.pediy.com/tutorial/chap8/Chap8-4-2.htm这是那个没有脱成功的, http://bbs.pediy.com/upload/bbs/unpackfaq/notepad.upx.rar这是那个脱成功了的, 都是看雪论坛的教程,本人比较菜 2008-4-10 17:41 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 5 楼 Chap8-4-2中的notepad-upx.exe，跑到OEP（00401000）后，用OD的脱壳调试进程，dump下来的的确不能运行，提示“应用程序正常初始化(0xc000007b)失败” 于是我改用另一种方式，在LordPE中把内存镜像完整转存，然后用ImportREC修复IAT（同时也修改了入口点偏移为1000），修复后的程序正常运行（在附件）。这说明脱壳并没有问题，不知道是否是OD的问题？上传的附件： dumped_.rar （18.57kb，10次下载） 2008-4-10 21:16 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 6 楼另外这两个记事本的文件版本是不一样的，从而OEP也是不一样的。 2008-4-10 21:18 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 7 楼谢谢大家,我是菜鸟,不太会刚才高手说的那个,我初来看雪,感觉大家真的很热心,谢谢, 如果刚才那位高手有时间的话能不能把过程写具体一点, 2008-4-10 21:51 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼 OD里跑到OEP这个不用说了吧：然后打开LordPE，在进程列表中选中被调试的Notepad-upx.exe进程，下面的模块列表中在Notepad-upx.exe上右键点“完整转存”，保存为dumped.exe: 这样映像文件就dump下来了，接下来是修复输入表。使用ImportREC，在Attah to an Active Process的下拉列表中选中被调试的Notepad-upx.exe进程，之后在OEP框中把数值改为00001000（即OEP偏移）之后点击IAT AutoSearch，会提示你Found Something，点确定后，再点Get Imports，会看到找到五个dll的输入表项，而且全是可用的。这样再点fix dump，对话框中选中刚刚转存出来的dumped.exe，就会提示成功生成dumped_.exe dumped_.exe就是修复完的文件，可以正常运行。这些都是基本的操作，只是楼主要求要详细点，那我就罗嗦一下了。上传的附件： pediy1.jpg （20.30kb，43次下载） pediy2.jpg （16.31kb，43次下载） pediy3.jpg （8.60kb，43次下载） 2008-4-10 22:16 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 9 楼最主要的是我够菜,修复这些东西还不太清楚,所以要步骤清楚一些才能看懂,麻烦了好详细的步骤,太感动了 2008-4-11 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]用OD同种版本的壳产生两种不同的结果 0.00雪花