-
-
这个仍然烦着我,大家来看看!
-
发表于: 2004-11-8 19:27
-
这个问题,我提的太多了。但是仍然没有达到目的!
大家来看看我的操作过程,然后指出我的错在地。
od载入kawaks145。
按“否”
命令行输入“hr 0012ffa4”
然后按4次 f9
第二次按 f9,出现这个窗口, 按“确定” ,继续按 f9
第4次按 f9,来到了oep入口点。
大家来看看我的操作过程,然后指出我的错在地。
od载入kawaks145。
按“否”
命令行输入“hr 0012ffa4”
然后按4次 f9
第二次按 f9,出现这个窗口, 按“确定” ,继续按 f9
第4次按 f9,来到了oep入口点。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
按 f7 进入
 这里就 dump  dump 出来的文件正常运行  用exescope编辑资源后保存更新。  然后发现,kawaks145的图标,大小都变了。  原图标  运行它,出了下面的窗口  用exescope再看看刚才编辑的文件。 发现资源了什么都没有了  然后我把这个文件删除了,重新用od脱壳。(步骤跟上面的一样) 用language localizator载入已脱壳的文件。  这里我脱壳的文件。 附件:wk145.rar 原文件 附件:winkawaks145.zip ------------------------------------ 高手们啊, 你们看。 我错在那里? 或者少走了些路? 请你们指教一下。 谢谢。 |
|
|
1、这不属于脱壳的问题
2、它有官方语言文件,不需要汉化的。 
|
|
|
前面动作照旧直到 DUMP 时如下图:
 再来运行 ImportRECE 修复引入函数表,先在系统中选择该进程,接下来依下图设定,点击取得引入表,再点击修复脱壳档案:  再用 PE Explorer 来取消多余区段如下图:  再来重建 PE 此动作可有可无(让档案小一些)  有时档案经脱壳后区段(名)紊乱或文件大小缘故在汉化工具使用过程常会出现莫名错误,以上步骤,纯属个人经验,只为将此可能降至最低...希望对你有帮助...^^ 脱壳附件下载:unpack.rar |
|
|
这个rva值为什么会变为0032e000的?
|
|
|
|
|
|
|
|
|
最初由 peaceworld 发布 peaceworld, 看了你的演示文件,非常详细的说明~ 谢谢。 but 我按照你的做法一步一步的去做了。 后来,又出了错误窗口。  我重新看了一遍, 你和我的操作中一个地方是不一样,就是那个 RVA值的大小。你的 858,而我的 D34。 是不是这个值在作怪呢? 或者........?  
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
你的树状文件没错,是 ImportRECE 的配置问题,请依下图设定...再试试...祝幸运
|
|
|
|
|
|
|
