有了下面这个脚本的日志,stolen code(偷窃代码)应该很容易修复吧,请会的根据下面日志写一个详细的图文教程或做一个录像帮帮我们初学者。
Log data
地址 消息
OllyDbg v1.10
已使用 Tahoma 代替点阵字体 MS Sans Serif
+BP-OLLY - Ver 1.0 by RedH@wK
[CracksLatinos] - [aRC] - [RVLCN]
http://redhawk.hispadominio.com
http://www.crackslatinos.hispadominio.net/
http://groups.google.com/group/arc3000
http://www.revolucion7000.com/
Nonameo's ApiBreak
Copyright (C) 2005 Nonameo
FindAPI - v0.1 (ap0x)
API断点设置工具 - Ver 1.2 by 蓝色光芒
Asm2Clipboard PlugIn v0.1
由 FaTmiKE 编写于 2oo4
我使用了 Regon 的 ExtraCopy 插件 v1.0 的代码片断
...非常感谢 Regon 所做的工作!
书签示范插件 v1.06 (插件演示)
Copyright (C) 2001, 2002 Oleh Yuschuk
Bookmarks v2
版权所有 (C) 2005 Bobby
CleanupEx v1.12.108 by Gigapede
CommandBar v3.20.110
Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn
TBar support by arjuns
DelphiHelper v0.3 kongfoo[CuG][CTDG]
异常计数器插件 [v 0.1b] 由 ZeetreX
超级拷贝插件 v0.90 by Regon
Extras 版权所有 (c) 2005 Bobby
GODUP v1.2 [godfather+] - Delphi 版本
Hide Caption v1.00 by Gigapede
隐藏调试器 v1.2.3f
Copyright (c) 2005 by Asterix
HideOD, www.pediy.com
Invisible Plugin, by okdodo
插件 IsDebugPresent v1.4 (SV 2003)-|-ExtraHide (TeST)
Labeler v1.33.108 by Gigapede
Labelmaster 插件 v0.1
版权所有 (C) 2004 JoeStewart
LoadMap version 0.1 by lgx/iPB loaded
LoadMapEx v1.1 by forever[RCT]
MemoryManage beta
Copyright (C) 2004 pLayAr
有任何建议请发邮件至 playar0709@21cn.net
Nonameo's NonaWrite 1.1
Copyright (C) 2005 Nonameo
ODbgScript v1.65.2 chinese version by hnhuqiong
http://bbs.pediy.com or http://www.unpack.cn
OllyDump v3.00.110 by Gigapede
OllyFlow 插件 v0.71
版权所有 (C) 2005 henryouly@pediy
OllyMachine v0.20
由罗聪编写
编译于2004年12月7日 14:32:15
插件 OllySnake 编译时间:2006-1-27
版权所有 (c) 2005 Jospeh Moti & Kobi Par
OllyStepNSearch 0.5.0
无版权公开 2006 Didier Stevens
OllyStepNSearch achSearchText =
OllyStepNSearch ulStepInLimit = 10000000
OllyTiper V1.0 by Ryokou
_Tablefunction Addr 0045835C
插件 OllyUni v0.07 (Unicode/RetDiff/Filter/SPret)
版权所有 (c) 2003 FX of Phenoelit
插件 Breakpoint Manager 编译: 2005-7-13
版权所有 (c) 2005 Pedram Amini
PhantOm plugin 1.20
by Hellsp@wn & Archer
Puntos Magicos v1.10
插件作者:TheKluger
Punto H: 77D1999C
Punto A-VB6: 733E1CDF
Punto A-VB5: 798CE5A5
SkyPatch v1.0
by exfsky
now LoadLibrary
Olly TBar Manager Plug-in compiled on Jun 3 2006
anorgranix!! thanks alot for your kind help
Copyright (c) 2006 arjuns,a41arjuns@hotmail.com
prince's TracKit 插件 V1.10 (beta)
Copyright (C) 2004-2005 prince
超级字串参考 v0.12
Written by Luo Cong
Compiled on Dec 14 2006, 04:52:21
超级字串参考+ v0.11
罗聪创作/n曹聪汉化
编译于 Sep 20 2005 15:33:30
WatchMan v1.00 by Gigapede
WindowJuggler v0.06b
作者: EsseEmme
数据格式转换 plugin v1.1
该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
Copyright (C) 2006 by zhanshen[DFCG][RCT]
OllyStepNSearch achSearchText =
OllyStepNSearch ulStepInLimit = 10000000
正在扫描导入库:.\LIB\MFC42.Lib
已解析 6384 个序数
正在扫描导入库:.\LIB\mfc71.Lib
已解析 6442 个序数
>> Status: Caption changed
>> Status: FPU bug patched
>> Status: OutputDebugString patched
>> Status: Exceptions handler error sign
>> Hide Driver loading
>> Random Hide driver name = YavShQBRgFHq.sys
>> Random Hide driver symlink = \\.\YavShQBRgFHq
>> Random Hide driver description = RBpyRZjL1R2
>> Status: Driver loaded
>> RDTSC Driver loading
>> Random RDTSC driver name = j2AlLkE.syS
>> Random RDTSC driver symlink = \\.\j2AlLkE
>> Random RDTSC driver description = svfHokh
>> Delta RDTSC = 00008800
>> RDTSC Driver loaded
>> Status: RDTSC hooked
新线程 ID 00000148 已创建
00401000 主线程 ID 00000454 已创建
>> Status: PEB patched [on system]
00400000 模块 C:\Documents and Settings\Administrator\桌面\_MZD5.8.exe
00401000 文件头中的代码大小是 00122400, 已对区段扩容: -> 00401000
68BE0000 模块 C:\WINDOWS\system32\hid.dll
68BE1000 文件头中的代码大小是 00004200, 已对区段扩容: '.text'
71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll
71A11000 文件头中的代码大小是 00003E00, 已对区段扩容: '.text'
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
71A21000 文件头中的代码大小是 00012200, 已对区段扩容: '.text'
71A40000 模块 C:\WINDOWS\system32\wsock32.dll
71A41000 文件头中的代码大小是 00002400, 已对区段扩容: '.text'
76060000 模块 C:\WINDOWS\system32\setupapi.dll
76061000 文件头中的代码大小是 0007D000, 已对区段扩容: '.text'
765E0000 模块 C:\WINDOWS\system32\CRYPT32.dll
765E1000 文件头中的代码大小是 00084400, 已对区段扩容: '.text'
76680000 模块 C:\WINDOWS\system32\wininet.dll
76681000 文件头中的代码大小是 00089600, 已对区段扩容: '.text'
76990000 模块 C:\WINDOWS\system32\ole32.dll
76991000 文件头中的代码大小是 00125000, 已对区段扩容: '.text'
76D30000 模块 C:\WINDOWS\system32\iphlpapi.dll
76D31000 文件头中的代码大小是 00012E00, 已对区段扩容: '.text'
76DB0000 模块 C:\WINDOWS\system32\MSASN1.dll
76DB1000 文件头中的代码大小是 0000D200, 已对区段扩容: '.text'
770F0000 模块 C:\WINDOWS\system32\oleaut32.dll
770F1000 文件头中的代码大小是 0007EE00, 已对区段扩容: '.text'
77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77181000 文件头中的代码大小是 00090C00, 已对区段扩容: '.text'
77BD0000 模块 C:\WINDOWS\system32\version.dll
77BD1000 文件头中的代码大小是 00003A00, 已对区段扩容: '.text'
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77BE1000 文件头中的代码大小是 0004BE00, 已对区段扩容: '.text'
77D10000 模块 C:\WINDOWS\system32\user32.dll
77D11000 文件头中的代码大小是 0005F400, 已对区段扩容: '.text'
CRC 已改变, 正在放弃 .udd 数据
77DA0000 模块 C:\WINDOWS\system32\advapi32.dll
77DA1000 文件头中的代码大小是 00074600, 已对区段扩容: '.text'
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77E51000 文件头中的代码大小是 00089200, 已对区段扩容: '.text'
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77EF1000 文件头中的代码大小是 00042600, 已对区段扩容: '.text'
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
77F41000 文件头中的代码大小是 0006BC00, 已对区段扩容: '.text'
77FC0000 模块 C:\WINDOWS\system32\Secur32.dll
77FC1000 文件头中的代码大小是 0000C200, 已对区段扩容: '.text'
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C801000 文件头中的代码大小是 00083200, 已对区段扩容: '.text'
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7C921000 文件头中的代码大小是 0007A000, 已对区段扩容: '.text'
7D590000 模块 C:\WINDOWS\system32\shell32.dll
7D591000 文件头中的代码大小是 001FDA00, 已对区段扩容: '.text'
隐藏调试器
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
76301000 文件头中的代码大小是 00014C00, 已对区段扩容: '.text'
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
62C21000 文件头中的代码大小是 00004800, 已对区段扩容: '.text'
00401000 程序入口点
Remove-RtlNtGlobalFlags
Remove-ForceFlags
正在分析 _MZD5_8
1 个启发式程序过程
>> Status: EP break deleted
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
73FA1000 文件头中的代码大小是 00043A00, 已对区段扩容: '.text'
7C80176F 断点位于 kernel32.GetSystemTime
00FCFF66 访问违例: 写入到 [00000000]
00FCF004 访问违例: 写入到 [00000000]
00FCF7F3 断点位于 00FCF7F3
00FCF6F4 断点位于 00FCF6F4
00FCF382 访问违例: 写入到 [00000000]
00FC4C5A 断点位于 00FC4C5A
00F9011A 断点位于 00F9011A
AsprAPIloc: 00FD267C
00FCF4B8 断点位于 00FCF4B8
00FCDC3E 硬件断点 1 位于 00FCDC3E
00FCF5D1 断点位于 00FCF5D1
00FCF609 断点位于 00FCF609
00FB5538 断点位于 00FB5538
SDK 偷代码区段 = 0000001E
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB5538 断点位于 00FB5538
00FB39AB 断点位于 00FB39AB
00F9012D 断点位于 00F9012D
00FCF67A 断点位于 00FCF67A
带 scstk 的 SDK 区段 = 0000001D
SDK 偷代码区段地址 = 023D0000
Delphi 初始化表的地址 005224A0
00FAFCEC 断点位于 00FAFCEC
00FAFCEC 断点位于 00FAFCEC
00FAFCEC 断点位于 00FAFCEC
022D0175 断点位于 022D0175
00F9002E 断点位于 00F9002E
00F90077 断点位于 00F90077
00F900C5 断点位于 00F900C5
00F90250 断点位于 00F90250
00F90034 断点位于 00F90034
00F9ED08 断点位于 00F9ED08
00FC58DF 断点位于 00FC58DF
00FCE834 硬件断点 1 位于 00FCE834
02150441 断点位于 02150441
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 022F0000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02300000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02310000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02320000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02330000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02340000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02350000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02360000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02370000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02380000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02390000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 023A0000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 023B0000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 023C0000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 023E0000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 023F0000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02400000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02410000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02420000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02430000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02440000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02450000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02460000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02470000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02480000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 02490000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 024A0000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 024B0000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
SDK 偷窃代码区段地址 = 024C0000
00F907D9 断点位于 00F907D9
00F9003E 断点位于 00F9003E
00F900F2 断点位于 00F900F2
00F90030 断点位于 00F90030
00F90015 断点位于 00F90015
00F90030 断点位于 00F90030
IAT 的地址 = 00837258
IAT 的相对地址 = 00437258
IAT 的大小 = 000008F4
00F90079 断点位于 00F90079
OEP 的地址 = 00522CB8
OEP 的相对地址 = 00122CB8
[培训]《安卓高级研修班(网课)》月薪三万计划,掌
握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
