首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
这个仍然烦着我,大家来看看!
发表于: 2004-11-8 19:27 6085

这个仍然烦着我,大家来看看!

marvel 活跃值
2004-11-8 19:27
6085
这个问题,我提的太多了。但是仍然没有达到目的!
大家来看看我的操作过程,然后指出我的错在地。
od载入kawaks145。


按“否”



命令行输入“hr 0012ffa4”



然后按4次 f9



第二次按 f9,出现这个窗口, 按“确定” ,继续按 f9







第4次按 f9,来到了oep入口点。




[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (17)
marvel
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
按 f7 进入



这里就 dump



dump 出来的文件正常运行



用exescope编辑资源后保存更新。



然后发现,kawaks145的图标,大小都变了。


原图标


运行它,出了下面的窗口



用exescope再看看刚才编辑的文件。 发现资源了什么都没有了



然后我把这个文件删除了,重新用od脱壳。(步骤跟上面的一样)

用language localizator载入已脱壳的文件。



这里我脱壳的文件。

附件:wk145.rar

原文件

附件:winkawaks145.zip
------------------------------------
高手们啊, 你们看。 我错在那里? 或者少走了些路?
请你们指教一下。 谢谢。
2004-11-8 19:27
0
jingulong
雪    币: 266
活跃值: (269)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
3
1、这不属于脱壳的问题
2、它有官方语言文件,不需要汉化的。

2004-11-8 21:30
0
peaceworld
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
前面动作照旧直到 DUMP 时如下图:



再来运行 ImportRECE 修复引入函数表,先在系统中选择该进程,接下来依下图设定,点击取得引入表,再点击修复脱壳档案:



再用 PE Explorer 来取消多余区段如下图:



再来重建 PE 此动作可有可无(让档案小一些)



有时档案经脱壳后区段(名)紊乱或文件大小缘故在汉化工具使用过程常会出现莫名错误,以上步骤,纯属个人经验,只为将此可能降至最低...希望对你有帮助...^^

脱壳附件下载:unpack.rar
2004-11-9 06:08
0
marvel
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
这个rva值为什么会变为0032e000的?
2004-11-9 20:05
0
peaceworld
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
只是个人经验分享,不保证操作正确无误!请至以下页面中间下载演示档案...

http://ezshare.de/files-en/55466/DownLoad_Me.exe.html
2004-11-9 20:46
0
marvel
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
peaceworld
非常感谢你!
但我想问一下一个问题。 用od脱壳时,会不会不同的机子上采用同一方法,那么对脱壳的效果会不会一样?
一个机子上已经脱出来的文件,到不同的机子上编辑,会不会遇到脱壳不完整的问题??

我问这个问题的原因就是: 你脱的那个unpack(winkawaks145)文件,在网吧用资源编辑工具编辑很正常。 但是在宿舍下载(我下了很多次)并用编辑资源工具打开它说 文件可能被加壳,不能看资源  这个消息: 我把我的一切资源编辑工具卸载重装也一样。  我怀疑我的系统在作怪或者.............
2004-11-10 16:39
0
marvel
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 peaceworld 发布
只是个人经验分享,不保证操作正确无误!请至以下页面中间下载演示档案...

http://ezshare.de/files-en/55466/DownLoad_Me.exe.html


peaceworld, 看了你的演示文件,非常详细的说明~ 谢谢。
but 我按照你的做法一步一步的去做了。 后来,又出了错误窗口。



我重新看了一遍, 你和我的操作中一个地方是不一样,就是那个 RVA值的大小。你的 858,而我的 D34。 是不是这个值在作怪呢? 或者........?



2004-11-10 17:36
0
peaceworld
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
与你分享的都是我的实作经验,理论的东西我懂不多也不保证说的准..

使用某些汉化工具如 eXeScope 载入脱壳档案时,出现有壳反应是因为壳的标志

在作怪,汉化新世纪有解决之道你可前往搜寻检视相关文章,其次在修复的操作过

程中出现的问题应是函数修复错误的原因,请至以下页面中下载档案,压缩档内含

脱壳程序及树状文件,该脱壳档案在我这边测试使用了

eXeScope,ResHacker,ResScope,Passolo,PE Explorer,Language Localizator

等汉化工具都能编辑修改无误,你可再试试有问题再提出...祝顺利

按我至下载页面
2004-11-10 18:27
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
10
看看ImportRec选项
新增区段试试
2004-11-10 19:04
0
marvel
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
我看了你的脱壳文件,很正常! 好像我的某某操作错而作怪着, 我重新来看看。。。。
(我的目的不是编辑资源,从实践中学习脱壳,借资源编辑工具来看我脱的干净不)
那个新增的RVA值的大小不一样会不会有影响?(你的858我的D34)
2004-11-10 19:12
0
peaceworld
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
TO:marvel

不如上传你的脱壳程序及树状文件吧!,先用新增区段方式修复测试吧!看看是否能正常运行...

TO:FLY

再见到你的身影真是高兴,受你帮助颇多,实在感谢,衷心祝福顺心如意...^^
2004-11-10 19:42
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
13
谢谢祝福
BTW:不客气  :D
2004-11-10 19:58
0
marvel
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
这是“新增区段”前面有钩下,修复的。 可以正常运行,但不能修改资源。

附件:2_1.rar
2004-11-10 20:01
0
marvel
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
这是“新增区段”前面没有钩下,修复的。 不能正常运行。

附件:2_2.rar

树文件

附件:tree.rar

请你看看~
2004-11-10 20:03
0
peaceworld
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
你的树状文件没错,是 ImportRECE 的配置问题,请依下图设定...再试试...祝幸运

2004-11-11 09:33
0
csjwaman
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
私信
17
最初由 marvel 发布
这是“新增区段”前面没有钩下,修复的。 不能正常运行。

附件:2_2.rar

树文件
........


用ImprotREC142版试试。
2004-11-11 10:33
0
marvel
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
终于作成了!!! 高兴啊!!原来是这个选项作怪啊。。。
为此我对peaceworld和这里的好心情的人 表示感谢。
谢谢你们! 希望你们做事有成~
2004-11-11 18:27
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//