能力值:
( LV2,RANK:10 )
|
-
-
2 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
这不是你们的考题之一吗?这么菜的壳壳fly版主就不必了,还是希望fly大虾把DFCG上的那个asprotect 1.4的作品脱出来让我们见识一下吧。:D
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
用修改版OD,忽略所有异常选项
下断:bp Process32First+1
00409FCA FF95 59204000 call dword ptr ss:[ebp+402059]; kernel32.Process32First
00409FD0 0BC0 or eax,eax//返回这里
然后在12FFAC处的4个字节上下“硬件访问->Word”断点
F9运行
0040DAA9 8BC5 mov eax,ebp//中断在这里
0040DAAB E8 25BBFFFF call UProtect.004095D5
0040DAB0 FFB5 F96D4000 push dword ptr ss:[ebp+406DF9]; UProtect.00401E5B//OEP值
0040DAB6 8BE8 mov ebp,eax
0040DAB8 C3 retn//飞向光明之巅!
00401E5B 55 push ebp//可以Dump了
00401E5C 8BEC mov ebp,esp
00401E5E 6A FF push -1
00401E60 68 C8504000 push UProtect.004050C8
00401E65 68 90294000 push UProtect.00402990
00401E6A 64:A1 00000000 mov eax,dword ptr fs:[0]
00401E70 50 push eax
00401E71 64:8925 00000000 mov dword ptr fs:[0],esp
00401E78 83EC 58 sub esp,58
00401E7B 53 push ebx
00401E7C 56 push esi
00401E7D 57 push edi
00401E7E 8965 E8 mov dword ptr ss:[ebp-18],esp
00401E81 FF15 3C504000 call dword ptr ds:[40503C]; kernel32.GetVersion
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
这个其实是旧版的ACP的壳来的!
比现在的新版多了很多INT1和INT3异常.
可惜还是给ESP定律给拿下了.
但这个壳会检查父进程.而且指定了唯一的父进程名字(Explorer.exe)
所以发出来给大家玩玩.
=======================
to:FLY,刚才收到了你的信,想了好久才起笔回复了....:(
|
能力值:
( LV12,RANK:980 )
|
-
-
6 楼
最初由 fly 发布
用修改版OD,忽略所有异常选项
下断:bp Process32First+1
00409FCA FF95 59204000 call dword ptr ss:[ebp+402059]; kernel32.Process32First
00409FD0 0BC0 or eax,eax//返回这里
然后在12FFAC处的4个字节上下“硬件访问->Word”断点
F9运行
0040DAA9 8BC5 mov eax,ebp//中断在这里
0040DAAB E8 25BBFFFF call UProtect.004095D5
0040DAB0 FFB5 F96D4000 push dword ptr ss:[ebp+406DF9]; UProtect.00401E5B//OEP值
0040DAB6 8BE8 mov ebp,eax
0040DAB8 C3 retn//飞向光明之巅!
00401E5B 55 push ebp//可以Dump了
00401E5C 8BEC mov ebp,esp
00401E5E 6A FF push -1
00401E60 68 C8504000 push UProtect.004050C8
00401E65 68 90294000 push UProtect.00402990
00401E6A 64:A1 00000000 mov eax,dword ptr fs:[0]
00401E70 50 push eax
00401E71 64:8925 00000000 mov dword ptr fs:[0],esp
00401E78 83EC 58 sub esp,58
00401E7B 53 push ebx
00401E7C 56 push esi
00401E7D 57 push edi
00401E7E 8965 E8 mov dword ptr ss:[ebp-18],esp
00401E81 FF15 3C504000 call dword ptr ds:[40503C]; kernel32.GetVersion
请FLY大侠把代码着色器发上。
|
能力值:
( LV9,RANK:1210 )
|
-
-
7 楼
最初由 辉仔Yock 发布
这个其实是旧版的ACP的壳来的!
比现在的新版多了很多INT1和INT3异常.
可惜还是给ESP定律给拿下了.
但这个壳会检查父进程.而且指定了唯一的父进程名字(Explorer.exe)
所以发出来给大家玩玩.
=======================
to:FLY,刚才收到了你的信,想了好久才起笔回复了....:(
这样在cmd窗口下岂不是不能运行啊?我的OD改造后就叫
cmd,早知道用explorer。
|
能力值:
( LV9,RANK:3410 )
|
-
-
8 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
fly版主,我按照你的方法用ukillod1.10c版的载入,下断
bp Process32First+1,然后f9执行,到
77E95C5C 8BEC MOV EBP,ESP
77E95C5E 81EC 2C020000 SUB ESP,22C
77E95C64 56 PUSH ESI
77E95C65 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C]
77E95C68 85F6 TEST ESI,ESI
………………
这里停止,我就f2取消断点,alt+f9返回到
00409FD0 0BC0 or eax,eax
然后找不到12FFAC处的4个字节上下“硬件访问->Word”断点,
不知道这步怎么实现的,我在右下脚异常的地方有看到12FFAC这个
地址,但是不能下断,不知道怎么回事,还请版主解释一下,谢谢!!
|
能力值:
( LV9,RANK:3410 )
|
-
-
10 楼
在左下角的转存窗口
CTRL+G:12FFAC
然后选中12FFAC处的4个字节上下“硬件访问->Word”断点
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
谢谢版主!!!
终于找到了oep,谢谢!!!
|
能力值:
( LV6,RANK:90 )
|
-
-
12 楼
0047AE77 893D A54D4600 MOV DWORD PTR DS:[464DA5], EDI
为什么我在12FFAC处下硬件访问WORD断点后,总是断在上面那一句,
我是在WIN2000+SP4环境下脱的,用的是FLY大侠的OD1。1修改版!
0047AE7D FF35 A54D4600 PUSH DWORD PTR DS:[464DA5]
0047AE83 893424 MOV DWORD PTR SS:[ESP], ESI
0047AE86 8F05 5D4D4600 POP DWORD PTR DS:[464D5D]
0047AE8C FF35 5D4D4600 PUSH DWORD PTR DS:[464D5D]
0047AE92 892C24 MOV DWORD PTR SS:[ESP], EBP
0047AE95 8925 954C4600 MOV DWORD PTR DS:[464C95], ESP
0047AE9B 8905 614C4600 MOV DWORD PTR DS:[464C61], EAX
0047AEA1 FF35 614C4600 PUSH DWORD PTR DS:[464C61]
0047AEA7 8F05 C14C4600 POP DWORD PTR DS:[464CC1]
0047AEAD FF35 C14C4600 PUSH DWORD PTR DS:[464CC1]
0047AEB3 C705 6D4C4600 9>MOV DWORD PTR DS:[464C6D], unpackme.0046>
0047AEBD FF35 6D4C4600 PUSH DWORD PTR DS:[464C6D]
0047AEC3 90 NOP
0047AEC4 90 NOP
0047AEC5 60 PUSHAD
0047AEC6 50 PUSH EAX
0047AEC7 E8 01000000 CALL unpackme.0047AECD
0047AECC ^ 7D 83 JGE SHORT unpackme.0047AE51
0047AECE C40458 LES EAX, FWORD PTR DS:[EAX+EBX*2]
0047AED1 E9 09000000 JMP unpackme.0047AEDF
0047AED6 8BCE MOV ECX, ESI
0047AED8 0F81 01000000 JNO unpackme.0047AEDF
0047AEDE F8 CLC
0047AEDF 68 AEAF4700 PUSH unpackme.0047AFAE
0047AEE4 4D DEC EBP
0047AEE5 58 POP EAX
0047AEE6 E8 01000000 CALL unpackme.0047AEEC
0047AEEB ^ 7E 83 JLE SHORT unpackme.0047AE70
0047AEED C40466 LES EAX, FWORD PTR DS:[ESI]
0047AEF0 81C9 65626865 OR ECX, 65686265
0047AEF6 9C PUSHFD
0047AEF7 F2: PREFIX REPNE:
望大家给予帮助!
|
能力值:
( LV9,RANK:3410 )
|
-
-
13 楼
|
能力值:
( LV6,RANK:90 )
|
-
-
14 楼
这个也不行,是OD的问题,还是我的系统问题?
为什么我在12FFAC处下硬件访问WORD断点后,总是断在上面那一句,
我是在WIN2000+SP4环境下脱的,用的是FLY大侠的OD1。1修改版!
|
能力值:
( LV9,RANK:3410 )
|
-
-
15 楼
可能是2000系统的原因
有些和xp不同
所以无法用12FFAC
看看入口push时的寄存器值
|
能力值:
( LV6,RANK:90 )
|
-
-
16 楼
EAX 00000000
ECX 00010101
EDX FFFFFFFF
EBX 7FFDF000
ESP 0012FFC4
EBP 0012FFF0
ESI 00000056
EDI 005616A8
EIP 00464000 unpackme.<ModuleEntryPoint>
C 0 ES 0023 32bit 0(FFFFFFFF)
P 1 CS 001B 32bit 0(FFFFFFFF)
A 0 SS 0023 32bit 0(FFFFFFFF)
Z 1 DS 0023 32bit 0(FFFFFFFF)
S 0 FS 0038 32bit 7FFDE000(FFF)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_MOD_NOT_FOUND (0000007E)
EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE)
ST0 empty 0.0
ST1 empty 0.0
ST2 empty 0.0
ST3 empty 0.0
ST4 empty 0.0
ST5 empty 0.0
ST6 empty 0.0
ST7 empty -UNORM C304 00000020 00000000
3 2 1 0 E S P U O Z D I
FST 0000 Cond 0 0 0 0 Err 0 0 0 0 0 0 0 0 (GT)
FCW 027F Prec NEAR,53 Mask 1 1 1 1 1 1
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
还有。好多断点都不能下,有时下了也有中断。。
|
能力值:
![]()
(RANK:410 )
|
-
-
18 楼
最初由 五哥 发布
还有。好多断点都不能下,有时下了也有中断。。
可能是系统的问题。
|
能力值:
( LV9,RANK:3410 )
|
-
-
19 楼
在9x系统上OD好像无法设置API断点
|
|
|
|
