能力值:
( LV2,RANK:10 )
|
-
-
2 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
yado's crypter 1.2没有脱壳机吧?
自己动手吧
OD载入后IsDebugPresent->Hide,忽略全部异常
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
楼上的,按照你说的hide后F9,到
BFF99EBE 3D C0000000 cmp eax,0C0显示
进程以终止,退出代码
然后怎么办?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
内存地址没有0012FFC0啊,是009开头的
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
我也跟着问两个弱弱问题.
1.是否用用ollydbg加载说程序入口位于程序外部的时候,都是表明此
程序为某种壳给压缩了?
2.那么多种的壳,在用ollydbg等工具分析的时候,有没有同一特征码.或者类似之处.(除了找不到程序入口外:);)
|
能力值:
( LV9,RANK:3410 )
|
-
-
7 楼
可能是伪装壳啦
ollydbg 调试
|
能力值:
( LV9,RANK:3410 )
|
-
-
8 楼
最初由 jackerzhou 发布 我也跟着问两个弱弱问题. 1.是否用用ollydbg加载说程序入口位于程序外部的时候,都是表明此 程序为某种壳给压缩了? 2.那么多种的壳,在用ollydbg等工具分析的时候,有没有同一特征码.或者类似之处.(除了找不到程序入口外:);) 1 不一定,一般可以这样认为
2 有 比如UPX入口的特征码:POPAD JMP等等
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
跟一个箬竹问题,放火墙有影响吗?
我看调用dll的时候发现有瑞星的APIHOOK等,od是不是也把这个也
反汇编进去了?.
试着用od去dump,得到的东西根本双击就非法操作.
用od载入后在这里:
006EC146 61 popad
下一行:
006EC147 ^E9 85DFFEFF jmp MAIN.006DA0D1
ESP 0091fe3c
内存地址中
0091FE3C BFF8B86C 返回到 KERNEL32.BFF8B86C 来自 KERNEL32.BFF74399
然后怎么办?
无论我怎么调试,最后都到这里
BFF99EBE |. 3D C0000000 cmp eax,0C0
进程终止,代码退出。
这个程序要调用自己的dll,要网络验证,
验证成功后,有2个禁用的Tpanel控件将可以使用,
如果等一段时间没有收到服务器的验证信息将弹出一个窗口提示
失败,并在几秒钟后自动关闭程序。
各位前辈,应该从哪里下手?
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
自己顶啊
|
|
|