某程序Armadillo脱壳--第一部分-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

某程序Armadillo脱壳--第一部分

发表于: 2004-11-12 17:05 16984

某程序Armadillo脱壳--第一部分

fxyang

2004-11-12 17:05

16984

某程序Armadillo脱壳脱壳

主程序是Armadillo 3.7以后的版本加的壳，
使用了Armadillo的双进程＋CC＋IAT变形＋时间效验，所以脱壳分二部分进行：

第一部分：代码的获得、OEP的获得以及修复IAT

1.双进程到单进程的转换

对于双进程到单进程的转换我还是使用ollyScript脚本进行，脚本如下：

；＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

/*
arm3.75版以后的从双进程到单进程转换的Script自动运行脚本
适用于ollyScript0.92，不要勾上OD异常中的〔忽略以下范围的异常〕 选项
by fxyang
*/

dbh        //隐藏OD

var address

gpa "OpenMutexA","kernel32.dll"
bp $RESULT
run

eoe code_1
code_1:
mov address,eip  //获取第一次PREFIX LOCK:异常地址 
esto

lbl3:
cmp eip,address   //自动越过异常
ja begin
esto

begin:
  exec
    PUSHAD
    PUSH EDX
    push 0
    push 0
    CALL kernel32.CreateMutexA
    POPAD
    jmp kernel32.OpenMutexA
  ende
//上面的代码就是在Script中运行从双进程到单进程的转换
   bc $RESULT

lbl4:
  gpa "VirtualProtect","kernel32.dll"
  bp  $RESULT        //对VirtualProtect函数下中断
  
esto
// 中断后继续
esto
 
esto
 
esto
 
esto
 
rtr
sto
rtr
sto
sto
sto
sto
sto
sto
sto
sto
sti
sti

pause
//经过了上面的代码程序会停在壳的运行代码中

；＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

00DEF065  PUSH EBP
00DEF066  MOV EBP,ESP
00DEF068  PUSH EBX
00DEF069  MOV EBX,DWORD PTR SS:[EBP+8]
00DEF06C  PUSH ESI
00DEF06D  MOV ESI,DWORD PTR SS:[EBP+C]
00DEF070  PUSH EDI
00DEF071  MOV EDI,DWORD PTR SS:[EBP+10]
00DEF074  TEST ESI,ESI
00DEF076  JNZ SHORT 00DEF081
00DEF078  CMP DWORD PTR DS:[E01AB4],0
00DEF07F  JMP SHORT 00DEF0A7

PUSH EBP 
MOV EBP,ESP 
PUSH ECX 
PUSH EBX 
XOR EBX,EBX

00DEBE33  PUSH EBP
00DEBE34  MOV EBP,ESP
00DEBE36  PUSH ECX
00DEBE37  PUSH EBX
00DEBE38  XOR EBX,EBX         //特征代码
00DEBE3A  CMP BYTE PTR DS:[DFFFFD],BL
00DEBE40  PUSH ESI
00DEBE41  PUSH EDI
00DEBE42  JNZ SHORT 00DEBE5E
00DEBE44  CMP BYTE PTR DS:[DFFC19],BL
00DEBE4A  JNZ SHORT 00DEBE5E
00DEBE4C  CALL 00DC7591
00DEBE51  TEST EAX,EAX
00DEBE53  JE SHORT 00DEBE5E
00DEBE55  CALL 00DC82D5
00DEBE5A  TEST AL,AL 
             
//anti的效验，光标停在这里，F4到这个地方。修改Al值为1

00DEBE5C  JE SHORT 00DEBE65
00DEBE5E  XOR AL,AL
00DEBE60  JMP 00DEBF91

00DE45CC  MOV EAX,C80F9D61
00DE45D1  NOT ECX
00DE45D3  BSWAP EAX
00DE45D5  NOT ECX
00DE45D7  PUSH DWORD PTR DS:[DF0498]  ; USER32.SetTimer <--注意
00DE45DD  CALL 00DEA2E1
00DE45E2  POP ECX
00DE45E3  MOVZX EAX,AL
00DE45E6  MOV DWORD PTR SS:[EBP-134],EAX
00DE45EC  PUSH ECX
00DE45ED  BSWAP ECX
00DE45EF  NOT ECX
00DE45F1  PUSH EAX
00DE45F2  NOT EAX
00DE45F4  MOV EAX,6C65696D
00DE45F9  XCHG EAX,ECX

00DE4A21   >CALL 00DC14AC
00DE4A26   >ADD ESP,10
00DE4A29   >MOV EAX,DWORD PTR DS:[DFFA1C]
00DE4A2E   >MOV DWORD PTR SS:[EBP-399C],EAX
00DE4A34   >CMP DWORD PTR SS:[EBP-399C],0
00DE4A3B   >JE SHORT 00DE4A73
00DE4A3D   >MOV EAX,DWORD PTR SS:[EBP-399C]
00DE4A43   >CMP DWORD PTR DS:[EAX],0
00DE4A46   >JE SHORT 00DE4A73
00DE4A48   >MOV EAX,DWORD PTR SS:[EBP-399C]
00DE4A4E   >MOV EAX,DWORD PTR DS:[EAX]
00DE4A50   >MOV EAX,DWORD PTR DS:[EAX]
00DE4A52   >ADD EAX,DWORD PTR DS:[E004F0]
00DE4A58   >MOV ECX,DWORD PTR SS:[EBP-399C]
00DE4A5E   >MOV ECX,DWORD PTR DS:[ECX]
00DE4A60   >MOV DWORD PTR DS:[ECX],EAX
00DE4A62   >MOV EAX,DWORD PTR SS:[EBP-399C]
00DE4A68   >ADD EAX,4
00DE4A6B   >MOV DWORD PTR SS:[EBP-399C],EAX
00DE4A71  ^>JMP SHORT 00DE4A3D
00DE4A73   >XCHG EAX,ESI          //这里结束，F4到这里
00DE4A74   >XCHG CX,CX
00DE4A77   >XCHG EAX,ESI
00DE4A78   >INS DWORD PTR ES:[EDI],DX                ; I/O 命令

00DE5209  MOV DWORD PTR DS:[DF68CC],0DF7454        ; ASCII "B4"
00DE5213  MOV EAX,DWORD PTR DS:[E00030]
00DE5218  MOV EAX,DWORD PTR DS:[EAX]
00DE521A  MOV DWORD PTR SS:[EBP-3924],EAX
00DE5220  MOV EAX,DWORD PTR DS:[E00030]
00DE5225  ADD EAX,4
00DE5228  MOV DWORD PTR DS:[E00030],EAX
00DE522D  CALL 00DEB11B
00DE5232  XOR ECX,ECX
00DE5234  TEST EAX,EAX
00DE5236  SETNE CL
00DE5239  INC ECX
00DE523A  MOV EAX,DWORD PTR DS:[E00030]
00DE523F  MOV EAX,DWORD PTR DS:[EAX]
00DE5241  XOR EDX,EDX
00DE5243  DIV ECX
00DE5245  MOV DWORD PTR SS:[EBP-37C8],EAX
00DE524B  MOV EAX,DWORD PTR DS:[E00030]
00DE5250  ADD EAX,4
00DE5253  MOV DWORD PTR DS:[E00030],EAX
00DE5258  MOV EAX,DWORD PTR SS:[EBP-37C8]
00DE525E  SHL EAX,2
00DE5261  PUSH EAX
00DE5262  CALL 00DEEF08          ; JMP to msvcrt.??2@YAPAXI@Z  //申请函数
00DE5267  POP ECX
00DE5268  MOV DWORD PTR SS:[EBP+FFFFAFE8],EAX   <--返回值，修改这个值
00DE526E  MOV EAX,DWORD PTR SS:[EBP+FFFFAFE8]
00DE5274  MOV DWORD PTR SS:[EBP-3928],EAX
00DE527A  MOV EAX,DWORD PTR DS:[E00028]
00DE527F  MOV EAX,DWORD PTR DS:[EAX+78]
00DE5282  MOV DWORD PTR SS:[EBP+FFFFAE28],EAX
00DE5288  MOV EAX,DWORD PTR SS:[EBP+FFFFAE28]
00DE528E  MOV DWORD PTR SS:[EBP-39F8],EAX
00DE5294  AND DWORD PTR SS:[EBP-39FC],0
00DE529B  JMP SHORT 00DE52AA

00DE529D  MOV EAX,DWORD PTR SS:[EBP-39FC]
00DE52A3  INC EAX
00DE52A4  MOV DWORD PTR SS:[EBP-39FC],EAX
00DE52AA  MOV EAX,DWORD PTR SS:[EBP-39FC]
00DE52B0  CMP EAX,DWORD PTR SS:[EBP-37C8]
00DE52B6  JNB 00DE5379
00DE52BC  MOV DWORD PTR SS:[EBP+FFFFAE14],14
00DE52C6  PUSH 1DF5E0D
00DE52CB  PUSH DWORD PTR SS:[EBP-39F8]
00DE52D1  LEA ECX,DWORD PTR SS:[EBP-39F8]
00DE52D7  CALL 00DC1071
00DE52DC  INC EAX
00DE52DD  XOR EDX,EDX
00DE52DF  MOV ECX,5F5E100
00DE52E4  DIV ECX
00DE52E6  MOV DWORD PTR SS:[EBP-39F8],EDX
00DE52EC  MOV DWORD PTR SS:[EBP+FFFFAE00],100
00DE52F6  PUSH 1DF5E0D
00DE52FB  PUSH DWORD PTR SS:[EBP-39F8]
00DE5301  LEA ECX,DWORD PTR SS:[EBP-39F8]
00DE5307  CALL 00DC1071
00DE530C  INC EAX
00DE530D  XOR EDX,EDX
00DE530F  MOV ECX,5F5E100
00DE5314  DIV ECX
00DE5316  MOV DWORD PTR SS:[EBP-39F8],EDX
00DE531C  MOV EAX,DWORD PTR SS:[EBP-39F8]
00DE5322  XOR EDX,EDX
00DE5324  MOV ECX,2710
00DE5329  DIV ECX
00DE532B  IMUL EAX,DWORD PTR SS:[EBP+FFFFAE14]
00DE5332  XOR EDX,EDX
00DE5334  MOV ECX,2710
00DE5339  DIV ECX
00DE533B  MOV ECX,EAX
00DE533D  MOV EAX,DWORD PTR SS:[EBP-39F8]
00DE5343  XOR EDX,EDX
00DE5345  MOV ESI,2710
00DE534A  DIV ESI
00DE534C  IMUL EAX,DWORD PTR SS:[EBP+FFFFAE00]
00DE5353  XOR EDX,EDX
00DE5355  MOV ESI,2710
00DE535A  DIV ESI
00DE535C  MOV ECX,DWORD PTR SS:[EBP+ECX*4-3978]
00DE5363  ADD ECX,EAX
00DE5365  MOV EAX,DWORD PTR SS:[EBP-39FC]
00DE536B  MOV EDX,DWORD PTR SS:[EBP-3928]
00DE5371  MOV DWORD PTR DS:[EDX+EAX*4],ECX  //值放到上面修改的地址中
00DE5374  JMP 00DE529D
00DE5379  MOV EAX,DWORD PTR DS:[E00030]   //这是出口，F4到这里

00DE5963  CALL 00DC14AC
00DE5968  ADD ESP,10
00DE596B  MOV EAX,DWORD PTR DS:[DFFA20]
00DE5970  MOV DWORD PTR SS:[EBP-3A34],EAX
00DE5976  CMP DWORD PTR SS:[EBP-3A34],0
00DE597D  JE SHORT 00DE59B5
00DE597F  MOV EAX,DWORD PTR SS:[EBP-3A34]
00DE5985  CMP DWORD PTR DS:[EAX],0
00DE5988  JE SHORT 00DE59B5
00DE598A  MOV EAX,DWORD PTR SS:[EBP-3A34]
00DE5990  MOV EAX,DWORD PTR DS:[EAX]
00DE5992  MOV EAX,DWORD PTR DS:[EAX]
00DE5994  ADD EAX,DWORD PTR DS:[E004F0]
00DE599A  MOV ECX,DWORD PTR SS:[EBP-3A34]
00DE59A0  MOV ECX,DWORD PTR DS:[ECX]
00DE59A2  MOV DWORD PTR DS:[ECX],EAX
00DE59A4  MOV EAX,DWORD PTR SS:[EBP-3A34]
00DE59AA  ADD EAX,4
00DE59AD  MOV DWORD PTR SS:[EBP-3A34],EAX
00DE59B3  JMP SHORT 00DE597F
00DE59B5  XCHG EAX,EDI          //这里结束，F4到这里
00DE59B6  XCHG CX,CX
00DE59B9  XCHG EAX,EDI
00DE59BA  OR ESI,DWORD PTR DS:[ECX+EBX*2]

00DE5A9F  MOV EAX,DWORD PTR SS:[EBP-3A48]
00DE5AA5  AND EAX,7FFFFFFF
00DE5AAA  MOV ECX,DWORD PTR SS:[EBP-3910]
00DE5AB0  ADD EAX,DWORD PTR DS:[ECX+88]
00DE5AB6  MOV DWORD PTR SS:[EBP-3A48],EAX
00DE5ABC  MOV EAX,DWORD PTR DS:[E00030]
00DE5AC1  MOV EAX,DWORD PTR DS:[EAX]
00DE5AC3  XOR EAX,DWORD PTR DS:[E00034]
00DE5AC9  MOV DWORD PTR SS:[EBP-3A44],EAX
00DE5ACF  MOV EAX,DWORD PTR DS:[E00030]
00DE5AD4  ADD EAX,4
00DE5AD7  MOV DWORD PTR DS:[E00030],EAX
00DE5ADC  MOV EAX,DWORD PTR SS:[EBP-3A44]
00DE5AE2  ADD EAX,10000                                ; UNICODE "=::=::\"
00DE5AE7  PUSH EAX
00DE5AE8  CALL 00DEEF08                                ; JMP to msvcrt.??2@YAPAXI@Z
00DE5AED  POP ECX
00DE5AEE  MOV DWORD PTR SS:[EBP+FFFFAFDC],EAX
00DE5AF4  MOV EAX,DWORD PTR SS:[EBP+FFFFAFDC]
00DE5AFA  MOV DWORD PTR SS:[EBP-3A40],EAX
00DE5B00  MOV EAX,DWORD PTR SS:[EBP-3A40]
00DE5B06  MOV DWORD PTR SS:[EBP-3A38],EAX
00DE5B0C  MOV EAX,DWORD PTR SS:[EBP-3A44]
00DE5B12  ADD EAX,10000                                ; UNICODE "=::=::\"
00DE5B17  PUSH EAX
00DE5B18  PUSH 0
00DE5B1A  PUSH DWORD PTR SS:[EBP-3A40]
00DE5B20  CALL 00DEEF14                                ; JMP to msvcrt.memset
00DE5B25  ADD ESP,0C
00DE5B28  PUSH 1
00DE5B2A  POP EAX
00DE5B2B  TEST EAX,EAX
00DE5B2D  JE 00DE5BBC

00DE5F3D  LEA EAX,DWORD PTR SS:[EBP-3A4C]
00DE5F43  PUSH EAX
00DE5F44  PUSH 4
00DE5F46  PUSH DWORD PTR SS:[EBP-3A44]
00DE5F4C  MOV EAX,DWORD PTR SS:[EBP-3900]
00DE5F52  ADD EAX,DWORD PTR SS:[EBP-3A48]
00DE5F58  PUSH EAX
00DE5F59  CALL DWORD PTR DS:[DF0148]                   ; kernel32.VirtualProtect
00DE5F5F  PUSH DWORD PTR SS:[EBP-3A44]
00DE5F65  PUSH DWORD PTR SS:[EBP-3A40]
00DE5F6B  MOV EAX,DWORD PTR SS:[EBP-3900]
00DE5F71  ADD EAX,DWORD PTR SS:[EBP-3A48]
00DE5F77  PUSH EAX
00DE5F78  CALL 00DEEF02                                ; JMP to msvcrt.memcpy
00DE5F7D  ADD ESP,0C                                   //内存数据复制
00DE5F80  LEA EAX,DWORD PTR SS:[EBP-3A4C]
00DE5F86  PUSH EAX
00DE5F87  PUSH DWORD PTR SS:[EBP-3A4C]
00DE5F8D  PUSH DWORD PTR SS:[EBP-3A44]
00DE5F93  MOV EAX,DWORD PTR SS:[EBP-3900]
00DE5F99  ADD EAX,DWORD PTR SS:[EBP-3A48]
00DE5F9F  PUSH EAX
00DE5FA0  CALL DWORD PTR DS:[DF0148]                   ; kernel32.VirtualProtect
00DE5FA6  MOV EAX,DWORD PTR SS:[EBP-3A40]
00DE5FAC  MOV DWORD PTR SS:[EBP+FFFFAFD8],EAX
00DE5FB2  PUSH DWORD PTR SS:[EBP+FFFFAFD8]
00DE5FB8  CALL 00DEEEFC                                ; JMP to msvcrt.??3@YAXPAX@Z
00DE5FBD  POP ECX
00DE5FBE  JMP 00DE5A57

00DE5FC3  AND DWORD PTR DS:[E00034],0
00DE5FCA  CMP DWORD PTR SS:[EBP-379C],0
00DE5FD1  JE SHORT 00DE6006

00DE637D  CALL 00DC14AC
00DE6382  ADD ESP,10
00DE6385  MOV EAX,DWORD PTR DS:[DFFA24]
00DE638A  MOV DWORD PTR SS:[EBP-3AA0],EAX
00DE6390  CMP DWORD PTR SS:[EBP-3AA0],0
00DE6397  JE SHORT 00DE63CF
00DE6399  MOV EAX,DWORD PTR SS:[EBP-3AA0]
00DE639F  CMP DWORD PTR DS:[EAX],0
00DE63A2  JE SHORT 00DE63CF
00DE63A4  MOV EAX,DWORD PTR SS:[EBP-3AA0]
00DE63AA  MOV EAX,DWORD PTR DS:[EAX]
00DE63AC  MOV EAX,DWORD PTR DS:[EAX]
00DE63AE  ADD EAX,DWORD PTR DS:[E004F0]
00DE63B4  MOV ECX,DWORD PTR SS:[EBP-3AA0]
00DE63BA  MOV ECX,DWORD PTR DS:[ECX]
00DE63BC  MOV DWORD PTR DS:[ECX],EAX
00DE63BE  MOV EAX,DWORD PTR SS:[EBP-3AA0]
00DE63C4  ADD EAX,4
00DE63C7  MOV DWORD PTR SS:[EBP-3AA0],EAX
00DE63CD  JMP SHORT 00DE6399
00DE63CF  PUSH EDI      //这里结束，F4到这里
00DE63D0  XCHG BX,BX
00DE63D3  POP EDI

00DE68DC  CALL 00DC14AC
00DE68E1  ADD ESP,10
00DE68E4  MOV EAX,DWORD PTR DS:[DFFA2C]
00DE68E9  MOV DWORD PTR SS:[EBP-3B64],EAX
00DE68EF  CMP DWORD PTR SS:[EBP-3B64],0
00DE68F6  JE SHORT 00DE692E
00DE68F8  MOV EAX,DWORD PTR SS:[EBP-3B64]
00DE68FE  CMP DWORD PTR DS:[EAX],0
00DE6901  JE SHORT 00DE692E
00DE6903  MOV EAX,DWORD PTR SS:[EBP-3B64]
00DE6909  MOV EAX,DWORD PTR DS:[EAX]
00DE690B  MOV EAX,DWORD PTR DS:[EAX]
00DE690D  ADD EAX,DWORD PTR DS:[E004F0]
00DE6913  MOV ECX,DWORD PTR SS:[EBP-3B64]
00DE6919  MOV ECX,DWORD PTR DS:[ECX]
00DE691B  MOV DWORD PTR DS:[ECX],EAX
00DE691D  MOV EAX,DWORD PTR SS:[EBP-3B64]
00DE6923  ADD EAX,4
00DE6926  MOV DWORD PTR SS:[EBP-3B64],EAX
00DE692C  JMP SHORT 00DE68F8
00DE692E  XCHG AX,CX    //这里结束，F4到这里
00DE6930  NOP
00DE6931  XCHG AX,CX

00DE6B32  PUSH DWORD PTR SS:[EBP-3B70]
00DE6B38  CALL 00DC9950
00DE6B3D  POP ECX
00DE6B3E  AND DWORD PTR SS:[EBP-3B74],0
00DE6B45  PUSH 0
00DE6B47  CALL DWORD PTR DS:[DF00D4]           ; kernel32.GetModuleHandleA
00DE6B4D  CMP DWORD PTR SS:[EBP-3B70],EAX      //可以对上面的函数下中断到这里
00DE6B53  JNZ SHORT 00DE6B64
00DE6B55  MOV DWORD PTR SS:[EBP-3B74],0DF5180
00DE6B5F  JMP 00DE6C28
00DE6B64  AND DWORD PTR SS:[EBP-3D98],0
00DE6B6B  MOV DWORD PTR SS:[EBP-3D9C],0DF57C0
00DE6B75  JMP SHORT 00DE6B93
00DE6B77  MOV EAX,DWORD PTR SS:[EBP-3D9C]
00DE6B7D  ADD EAX,0C
00DE6B80  MOV DWORD PTR SS:[EBP-3D9C],EAX
00DE6B86  MOV EAX,DWORD PTR SS:[EBP-3D98]
00DE6B8C  INC EAX
00DE6B8D  MOV DWORD PTR SS:[EBP-3D98],EAX
00DE6B93  MOV EAX,DWORD PTR SS:[EBP-3D9C]
00DE6B99  CMP DWORD PTR DS:[EAX],0             <--这个就是Magic jmp            
00DE6B9C  JE 00DE6C28                          //修改为JMP 00DE6C28
00DE6BA2  MOV EAX,DWORD PTR SS:[EBP-3D9C]
00DE6BA8  MOV EAX,DWORD PTR DS:[EAX+8]
00DE6BAB  AND EAX,1
00DE6BAE  TEST EAX,EAX
00DE6BB0  JE SHORT 00DE6BD7

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・7

支持

最新回复 (27) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼辛苦 :D 2004-11-12 17:14 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 3 楼来得及时，学习中！:D 2004-11-12 17:47 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 4 楼学习:D 2004-11-12 18:34 0
OllyDbg 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 65 粉丝 0 关注私信	OllyDbg 5 楼 bt :D 2004-11-12 18:59 0
flyfox 雪币： 205 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 1 关注私信	flyfox 6 楼好贴，挺一个。:) 2004-11-12 19:57 0
cc&cc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	cc&cc 7 楼学习 2004-11-12 20:09 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼看楼主此贴，强过论坛混十年 2004-11-12 22:00 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 9 楼消化不了~但是也要顶！ 2004-11-12 22:07 0
linhanshi 雪币： 97697 活跃值： (200824) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 10 楼支持!!! 2004-11-12 22:57 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 11 楼认真学习 2004-11-12 23:08 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 12 楼先收藏，慢慢学习~！ 2004-11-13 13:18 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼置顶几日 :D 2004-11-13 15:13 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 14 楼走召弓虽! 丁页! 2004-11-13 15:45 0
jesse2010 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jesse2010 15 楼没法消化，还是丁页上去先 2004-11-13 16:48 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 16 楼好贴，谢谢无私奉献，学习中！！ 2004-11-13 22:20 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 17 楼 oep怎样能快速找到啊？用常规方法he WaitForDebugEvent 和he WriteProcessMemory 怎么断不下来啊？ 2004-11-14 17:50 0
agooday 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	agooday 18 楼现在学不了，留着以后学。 2004-11-15 00:45 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 19 楼慢慢看 2004-11-15 04:00 0
illiperson 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 1 关注私信	illiperson 20 楼看的我头都大了。 2004-11-15 16:20 0
yyykj 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	yyykj 21 楼想问一下，怎么样判断程序在处理IAT，有什么特征，如果只是告诉我们什么时候或者什么地址在处理IAT，这种鱼我不是很感兴趣，而对渔感兴趣多了，如果这样我们永远停留在脱有限的已知壳。 2004-11-16 17:07 0
bbwp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bbwp 22 楼太难消化了！有时间慢慢消化！谢了！顶一下！ 2005-1-3 16:46 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 23 楼辛苦！！！ 2005-1-3 19:36 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 24 楼 HyperSnap-DX 5.61 汉化版，谁这么变态，汉化也加壳？:D 2005-1-4 14:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 25 楼壳是原版程序作者加的 2005-1-4 14:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fxyang

发帖

267

回帖

810

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼辛苦 :D 2004-11-12 17:14 0
temerata 雪币： 223 活跃值： (106) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 195 粉丝 2 关注私信	temerata 1 3 楼来得及时，学习中！:D 2004-11-12 17:47 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 4 楼学习:D 2004-11-12 18:34 0
OllyDbg 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 65 粉丝 0 关注私信	OllyDbg 5 楼 bt :D 2004-11-12 18:59 0
flyfox 雪币： 205 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 56 粉丝 1 关注私信	flyfox 6 楼好贴，挺一个。:) 2004-11-12 19:57 0
cc&cc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	cc&cc 7 楼学习 2004-11-12 20:09 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼看楼主此贴，强过论坛混十年 2004-11-12 22:00 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 9 楼消化不了~但是也要顶！ 2004-11-12 22:07 0
linhanshi 雪币： 97697 活跃值： (200824) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 10 楼支持!!! 2004-11-12 22:57 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 11 楼认真学习 2004-11-12 23:08 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 12 楼先收藏，慢慢学习~！ 2004-11-13 13:18 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼置顶几日 :D 2004-11-13 15:13 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 14 楼走召弓虽! 丁页! 2004-11-13 15:45 0
jesse2010 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jesse2010 15 楼没法消化，还是丁页上去先 2004-11-13 16:48 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 16 楼好贴，谢谢无私奉献，学习中！！ 2004-11-13 22:20 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 17 楼 oep怎样能快速找到啊？用常规方法he WaitForDebugEvent 和he WriteProcessMemory 怎么断不下来啊？ 2004-11-14 17:50 0
agooday 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	agooday 18 楼现在学不了，留着以后学。 2004-11-15 00:45 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 19 楼慢慢看 2004-11-15 04:00 0
illiperson 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 1 关注私信	illiperson 20 楼看的我头都大了。 2004-11-15 16:20 0
yyykj 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	yyykj 21 楼想问一下，怎么样判断程序在处理IAT，有什么特征，如果只是告诉我们什么时候或者什么地址在处理IAT，这种鱼我不是很感兴趣，而对渔感兴趣多了，如果这样我们永远停留在脱有限的已知壳。 2004-11-16 17:07 0
bbwp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bbwp 22 楼太难消化了！有时间慢慢消化！谢了！顶一下！ 2005-1-3 16:46 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 23 楼辛苦！！！ 2005-1-3 19:36 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 24 楼 HyperSnap-DX 5.61 汉化版，谁这么变态，汉化也加壳？:D 2005-1-4 14:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 25 楼壳是原版程序作者加的 2005-1-4 14:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复