到底是有壳还是没有？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 2 楼用本论坛一位先生的也不行,非法超作 http://bbs.pediy.com/showthread.php?s=&threadid=874 2004-11-6 13:45 0
冰红茶雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	冰红茶 3 楼 yado's crypter 1.2没有脱壳机吧？自己动手吧 OD载入后IsDebugPresent->Hide，忽略全部异常 2004-11-6 14:29 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 4 楼楼上的，按照你说的hide后F9，到 BFF99EBE 3D C0000000 cmp eax,0C0显示进程以终止，退出代码然后怎么办？ 2004-11-7 09:55 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 5 楼内存地址没有0012FFC0啊，是009开头的 2004-11-7 11:15 0
jackerzhou 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	jackerzhou 6 楼我也跟着问两个弱弱问题. 1.是否用用ollydbg加载说程序入口位于程序外部的时候,都是表明此程序为某种壳给压缩了? 2.那么多种的壳,在用ollydbg等工具分析的时候,有没有同一特征码.或者类似之处.(除了找不到程序入口外:);) 2004-11-7 16:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼可能是伪装壳啦 ollydbg 调试 2004-11-7 21:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼最初由 jackerzhou 发布我也跟着问两个弱弱问题. 1.是否用用ollydbg加载说程序入口位于程序外部的时候,都是表明此程序为某种壳给压缩了? 2.那么多种的壳,在用ollydbg等工具分析的时候,有没有同一特征码.或者类似之处.(除了找不到程序入口外:);) 1 不一定，一般可以这样认为 2 有比如UPX入口的特征码：POPAD JMP等等 2004-11-7 21:29 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 9 楼跟一个箬竹问题，放火墙有影响吗？我看调用dll的时候发现有瑞星的APIHOOK等,od是不是也把这个也反汇编进去了?. 试着用od去dump,得到的东西根本双击就非法操作. 用od载入后在这里: 006EC146 61 popad 下一行： 006EC147 ^E9 85DFFEFF jmp MAIN.006DA0D1 ESP 0091fe3c 内存地址中 0091FE3C BFF8B86C 返回到 KERNEL32.BFF8B86C 来自 KERNEL32.BFF74399 然后怎么办？无论我怎么调试，最后都到这里 BFF99EBE \|. 3D C0000000 cmp eax,0C0 进程终止，代码退出。这个程序要调用自己的dll，要网络验证，验证成功后，有2个禁用的Tpanel控件将可以使用，如果等一段时间没有收到服务器的验证信息将弹出一个窗口提示失败，并在几秒钟后自动关闭程序。各位前辈，应该从哪里下手？ 2004-11-8 13:29 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 10 楼自己顶啊 2004-11-11 20:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 2 楼用本论坛一位先生的也不行,非法超作 http://bbs.pediy.com/showthread.php?s=&threadid=874 2004-11-6 13:45 0
冰红茶雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	冰红茶 3 楼 yado's crypter 1.2没有脱壳机吧？自己动手吧 OD载入后IsDebugPresent->Hide，忽略全部异常 2004-11-6 14:29 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 4 楼楼上的，按照你说的hide后F9，到 BFF99EBE 3D C0000000 cmp eax,0C0显示进程以终止，退出代码然后怎么办？ 2004-11-7 09:55 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 5 楼内存地址没有0012FFC0啊，是009开头的 2004-11-7 11:15 0
jackerzhou 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	jackerzhou 6 楼我也跟着问两个弱弱问题. 1.是否用用ollydbg加载说程序入口位于程序外部的时候,都是表明此程序为某种壳给压缩了? 2.那么多种的壳,在用ollydbg等工具分析的时候,有没有同一特征码.或者类似之处.(除了找不到程序入口外:);) 2004-11-7 16:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼可能是伪装壳啦 ollydbg 调试 2004-11-7 21:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼最初由 jackerzhou 发布我也跟着问两个弱弱问题. 1.是否用用ollydbg加载说程序入口位于程序外部的时候,都是表明此程序为某种壳给压缩了? 2.那么多种的壳,在用ollydbg等工具分析的时候,有没有同一特征码.或者类似之处.(除了找不到程序入口外:);) 1 不一定，一般可以这样认为 2 有比如UPX入口的特征码：POPAD JMP等等 2004-11-7 21:29 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 9 楼跟一个箬竹问题，放火墙有影响吗？我看调用dll的时候发现有瑞星的APIHOOK等,od是不是也把这个也反汇编进去了?. 试着用od去dump,得到的东西根本双击就非法操作. 用od载入后在这里: 006EC146 61 popad 下一行： 006EC147 ^E9 85DFFEFF jmp MAIN.006DA0D1 ESP 0091fe3c 内存地址中 0091FE3C BFF8B86C 返回到 KERNEL32.BFF8B86C 来自 KERNEL32.BFF74399 然后怎么办？无论我怎么调试，最后都到这里 BFF99EBE \|. 3D C0000000 cmp eax,0C0 进程终止，代码退出。这个程序要调用自己的dll，要网络验证，验证成功后，有2个禁用的Tpanel控件将可以使用，如果等一段时间没有收到服务器的验证信息将弹出一个窗口提示失败，并在几秒钟后自动关闭程序。各位前辈，应该从哪里下手？ 2004-11-8 13:29 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 10 楼自己顶啊 2004-11-11 20:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复