首页
社区
课程
招聘
[讨论]stolen code(偷窃代码)修复
发表于: 2008-7-3 17:41 9222

[讨论]stolen code(偷窃代码)修复

2008-7-3 17:41
9222
有了下面这个脚本的日志,stolen code(偷窃代码)应该很容易修复吧,请会的根据下面日志写一个详细的图文教程或做一个录像帮帮我们初学者。

Log data
地址       消息
           OllyDbg v1.10
             已使用 Tahoma 代替点阵字体 MS Sans Serif
           +BP-OLLY - Ver 1.0 by RedH@wK
           [CracksLatinos] - [aRC] - [RVLCN]
           http://redhawk.hispadominio.com
           http://www.crackslatinos.hispadominio.net/
           http://groups.google.com/group/arc3000
           http://www.revolucion7000.com/
           Nonameo's ApiBreak
             Copyright (C) 2005 Nonameo
           FindAPI - v0.1 (ap0x)
           API断点设置工具 - Ver 1.2 by 蓝色光芒
           Asm2Clipboard PlugIn v0.1
             由 FaTmiKE 编写于 2oo4
             我使用了 Regon 的 ExtraCopy 插件 v1.0 的代码片断
             ...非常感谢 Regon 所做的工作!
           书签示范插件 v1.06 (插件演示)
             Copyright (C) 2001, 2002 Oleh Yuschuk
           Bookmarks v2
             版权所有 (C) 2005 Bobby
           CleanupEx v1.12.108  by Gigapede
           CommandBar v3.20.110
             Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn
                TBar support by arjuns
           DelphiHelper v0.3 kongfoo[CuG][CTDG]
           异常计数器插件 [v 0.1b] 由 ZeetreX
           超级拷贝插件 v0.90 by Regon
           Extras 版权所有 (c) 2005 Bobby

           GODUP v1.2 [godfather+] - Delphi 版本

           Hide Caption v1.00  by Gigapede
           隐藏调试器 v1.2.3f
             Copyright (c) 2005 by Asterix
           HideOD, www.pediy.com
           Invisible Plugin, by okdodo
           插件 IsDebugPresent v1.4 (SV 2003)-|-ExtraHide (TeST)
           Labeler v1.33.108  by Gigapede
           Labelmaster 插件 v0.1
             版权所有 (C) 2004 JoeStewart
           LoadMap version 0.1 by lgx/iPB loaded
           LoadMapEx v1.1 by forever[RCT]
           MemoryManage beta
             Copyright (C) 2004 pLayAr
             有任何建议请发邮件至 playar0709@21cn.net
           Nonameo's NonaWrite 1.1
             Copyright (C) 2005 Nonameo
           ODbgScript v1.65.2 chinese version by hnhuqiong
             http://bbs.pediy.com or http://www.unpack.cn
           OllyDump v3.00.110  by Gigapede
           OllyFlow 插件 v0.71
             版权所有 (C) 2005 henryouly@pediy
           OllyMachine v0.20
             由罗聪编写
             编译于2004年12月7日 14:32:15
           插件 OllySnake 编译时间:2006-1-27
             版权所有 (c) 2005 Jospeh Moti & Kobi Par
           OllyStepNSearch 0.5.0
             无版权公开 2006 Didier Stevens
           OllyStepNSearch achSearchText =
           OllyStepNSearch ulStepInLimit = 10000000
           OllyTiper V1.0 by Ryokou
           _Tablefunction Addr 0045835C
           插件 OllyUni v0.07 (Unicode/RetDiff/Filter/SPret)
             版权所有 (c) 2003 FX of Phenoelit
           插件 Breakpoint Manager 编译: 2005-7-13
             版权所有 (c) 2005 Pedram Amini

           PhantOm plugin 1.20
              by Hellsp@wn & Archer
           Puntos Magicos v1.10
             插件作者:TheKluger
             Punto H: 77D1999C
             Punto A-VB6: 733E1CDF
             Punto A-VB5: 798CE5A5
           SkyPatch v1.0
           by exfsky
           now LoadLibrary
           Olly TBar Manager  Plug-in compiled on Jun  3 2006
           anorgranix!! thanks alot for your kind help
               Copyright (c) 2006 arjuns,a41arjuns@hotmail.com
           prince's TracKit 插件 V1.10 (beta)
           Copyright (C) 2004-2005 prince
           超级字串参考 v0.12
             Written by Luo Cong
             Compiled on Dec 14 2006, 04:52:21
           超级字串参考+ v0.11
             罗聪创作/n曹聪汉化
             编译于 Sep 20 2005 15:33:30
           WatchMan v1.00  by Gigapede
           WindowJuggler v0.06b
             作者: EsseEmme
                        数据格式转换 plugin v1.1
           该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
                   Copyright (C) 2006 by zhanshen[DFCG][RCT]
           OllyStepNSearch achSearchText =
           OllyStepNSearch ulStepInLimit = 10000000
           正在扫描导入库:.\LIB\MFC42.Lib
             已解析 6384 个序数
           正在扫描导入库:.\LIB\mfc71.Lib
             已解析 6442 个序数

              >> Status: Caption changed
              >> Status: FPU bug patched
              >> Status: OutputDebugString patched
              >> Status: Exceptions handler error sign
              >> Hide Driver loading
                 >> Random Hide driver name = YavShQBRgFHq.sys
                 >> Random Hide driver symlink = \\.\YavShQBRgFHq
                 >> Random Hide driver description = RBpyRZjL1R2
              >> Status: Driver loaded
              >> RDTSC Driver loading
                 >> Random RDTSC driver name = j2AlLkE.syS
                 >> Random RDTSC driver symlink = \\.\j2AlLkE
                 >> Random RDTSC driver description = svfHokh
                 >> Delta RDTSC = 00008800
              >> RDTSC Driver loaded
              >> Status: RDTSC hooked
           新线程 ID 00000148 已创建
00401000   主线程 ID 00000454 已创建
              >> Status: PEB patched [on system]
00400000   模块 C:\Documents and Settings\Administrator\桌面\_MZD5.8.exe
00401000     文件头中的代码大小是 00122400, 已对区段扩容: -> 00401000
68BE0000   模块 C:\WINDOWS\system32\hid.dll
68BE1000     文件头中的代码大小是 00004200, 已对区段扩容: '.text'
71A10000   模块 C:\WINDOWS\system32\WS2HELP.dll
71A11000     文件头中的代码大小是 00003E00, 已对区段扩容: '.text'
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
71A21000     文件头中的代码大小是 00012200, 已对区段扩容: '.text'
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
71A41000     文件头中的代码大小是 00002400, 已对区段扩容: '.text'
76060000   模块 C:\WINDOWS\system32\setupapi.dll
76061000     文件头中的代码大小是 0007D000, 已对区段扩容: '.text'
765E0000   模块 C:\WINDOWS\system32\CRYPT32.dll
765E1000     文件头中的代码大小是 00084400, 已对区段扩容: '.text'
76680000   模块 C:\WINDOWS\system32\wininet.dll
76681000     文件头中的代码大小是 00089600, 已对区段扩容: '.text'
76990000   模块 C:\WINDOWS\system32\ole32.dll
76991000     文件头中的代码大小是 00125000, 已对区段扩容: '.text'
76D30000   模块 C:\WINDOWS\system32\iphlpapi.dll
76D31000     文件头中的代码大小是 00012E00, 已对区段扩容: '.text'
76DB0000   模块 C:\WINDOWS\system32\MSASN1.dll
76DB1000     文件头中的代码大小是 0000D200, 已对区段扩容: '.text'
770F0000   模块 C:\WINDOWS\system32\oleaut32.dll
770F1000     文件头中的代码大小是 0007EE00, 已对区段扩容: '.text'
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77181000     文件头中的代码大小是 00090C00, 已对区段扩容: '.text'
77BD0000   模块 C:\WINDOWS\system32\version.dll
77BD1000     文件头中的代码大小是 00003A00, 已对区段扩容: '.text'
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
77BE1000     文件头中的代码大小是 0004BE00, 已对区段扩容: '.text'
77D10000   模块 C:\WINDOWS\system32\user32.dll
77D11000     文件头中的代码大小是 0005F400, 已对区段扩容: '.text'
             CRC 已改变, 正在放弃 .udd 数据
77DA0000   模块 C:\WINDOWS\system32\advapi32.dll
77DA1000     文件头中的代码大小是 00074600, 已对区段扩容: '.text'
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
77E51000     文件头中的代码大小是 00089200, 已对区段扩容: '.text'
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
77EF1000     文件头中的代码大小是 00042600, 已对区段扩容: '.text'
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
77F41000     文件头中的代码大小是 0006BC00, 已对区段扩容: '.text'
77FC0000   模块 C:\WINDOWS\system32\Secur32.dll
77FC1000     文件头中的代码大小是 0000C200, 已对区段扩容: '.text'
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C801000     文件头中的代码大小是 00083200, 已对区段扩容: '.text'
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
7C921000     文件头中的代码大小是 0007A000, 已对区段扩容: '.text'
7D590000   模块 C:\WINDOWS\system32\shell32.dll
7D591000     文件头中的代码大小是 001FDA00, 已对区段扩容: '.text'
           隐藏调试器
76300000   模块 C:\WINDOWS\system32\IMM32.DLL
76301000     文件头中的代码大小是 00014C00, 已对区段扩容: '.text'
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
62C21000     文件头中的代码大小是 00004800, 已对区段扩容: '.text'
00401000   程序入口点
             Remove-RtlNtGlobalFlags
             Remove-ForceFlags
           正在分析 _MZD5_8
             1 个启发式程序过程
              >> Status: EP break deleted
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
73FA1000     文件头中的代码大小是 00043A00, 已对区段扩容: '.text'
7C80176F   断点位于 kernel32.GetSystemTime
00FCFF66   访问违例: 写入到 [00000000]
00FCF004   访问违例: 写入到 [00000000]
00FCF7F3   断点位于 00FCF7F3
00FCF6F4   断点位于 00FCF6F4
00FCF382   访问违例: 写入到 [00000000]
00FC4C5A   断点位于 00FC4C5A
00F9011A   断点位于 00F9011A
           AsprAPIloc: 00FD267C
00FCF4B8   断点位于 00FCF4B8
00FCDC3E   硬件断点 1 位于 00FCDC3E
00FCF5D1   断点位于 00FCF5D1
00FCF609   断点位于 00FCF609
00FB5538   断点位于 00FB5538
           SDK 偷代码区段 = 0000001E
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB5538   断点位于 00FB5538
00FB39AB   断点位于 00FB39AB
00F9012D   断点位于 00F9012D
00FCF67A   断点位于 00FCF67A
           带 scstk 的 SDK 区段 = 0000001D
           SDK 偷代码区段地址 = 023D0000
           Delphi 初始化表的地址 005224A0
00FAFCEC   断点位于 00FAFCEC
00FAFCEC   断点位于 00FAFCEC
00FAFCEC   断点位于 00FAFCEC
022D0175   断点位于 022D0175
00F9002E   断点位于 00F9002E
00F90077   断点位于 00F90077
00F900C5   断点位于 00F900C5
00F90250   断点位于 00F90250
00F90034   断点位于 00F90034
00F9ED08   断点位于 00F9ED08
00FC58DF   断点位于 00FC58DF
00FCE834   硬件断点 1 位于 00FCE834
02150441   断点位于 02150441
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 022F0000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02300000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02310000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02320000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02330000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02340000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02350000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02360000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02370000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02380000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02390000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 023A0000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 023B0000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 023C0000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 023E0000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 023F0000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02400000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02410000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02420000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02430000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02440000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02450000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02460000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02470000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02480000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 02490000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 024A0000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 024B0000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
           SDK 偷窃代码区段地址 = 024C0000
00F907D9   断点位于 00F907D9
00F9003E   断点位于 00F9003E
00F900F2   断点位于 00F900F2
00F90030   断点位于 00F90030
00F90015   断点位于 00F90015
00F90030   断点位于 00F90030
           IAT 的地址 = 00837258
           IAT 的相对地址 = 00437258
           IAT 的大小 = 000008F4
00F90079   断点位于 00F90079
           OEP 的地址 = 00522CB8
           OEP 的相对地址 = 00122CB8

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 190
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这个问题BAIDU里只见提问不见回答,没人愿意教下我们吗?
2008-7-4 13:27
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
3
天书?
看呒
2008-7-4 13:43
0
雪    币: 229
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
脚本已经补好了 VM 段,无需你动手
2008-7-4 18:42
0
雪    币: 590
活跃值: (177)
能力值: ( LV9,RANK:680 )
在线值:
发帖
回帖
粉丝
5
如果没猜错,壳是Asprotect,你用的是Volx的脚本,脚本完成后提示有stolen code,让你看Log窗口对吧

直接打开ImprotREC选取进程,看Log窗口最下面,应填入的参数如下

           IAT 的相对地址 = 00437258
           IAT 的大小 = 000008F4
           OEP 的相对地址 = 00122CB8

对了,以后尽量提高自学能力,论坛的搜索引擎很强大,这样的问题已经被解答过无数次了,只要你输入关键字去找,百分百解决问题
2008-12-1 15:27
0
雪    币: 224
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
stolen code好像确实没有转帖  说明
期待一篇精华
2009-2-14 10:59
0
游客
登录 | 注册 方可回帖
返回
//