12月7日升级――OllyMachine v0.20最终版-编程技术-看雪-安全社区|安全招聘|kanxue.com

12月7日升级――OllyMachine v0.20最终版

发表于: 2004-11-15 20:37 66850

12月7日升级――OllyMachine v0.20最终版

luocong

2004-11-15 20:37

66850

查看主题内容

收藏・8

免费・1

支持

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 101 楼最初由 auser 发布一个小建议，使用 invoke print系列, str 语句的时候，显示出来的对话框中的内容最好能让我们选择并copy下来。一个小技巧：直接在MessageBox那里按 Ctrl+C 就可以了，呵呵，试试看？不过我不太清楚有没有操作系统的限制。 2004-11-25 13:41 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 102 楼最初由 luocong 发布一个小技巧：直接在MessageBox那里按 Ctrl+C 就可以了，呵呵，试试看？不过我不太清楚有没有操作系统的限制。 98系统下不行。;) 2004-11-25 13:50 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 103 楼试了一下ctrl-c，确实可以copy下来！谢谢！如果能像IE窗口中的鼠标右键-〉属性-〉对话框可以自由选者欲copy的部分就更好了。 2004-11-25 13:52 0
OllyDbg 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 65 粉丝 0 关注私信	OllyDbg 104 楼最初由 David 发布太迟了,ODScript0.9x 已经相当成熟了,脚本命令已经掌握大部分,不明白老罗开发它有什么用. 不如开发其它方面的插件. :D 老罗的这个东西不仅仅是用来编写脱壳辅助脚本的，它可以实现更多的功能,足够你写个脱壳机出来~ODScript相比之下就差了很多~（代码无法抽取和写入被调程序） :D 加密代码可以写脚本还原，如果DumpAsPE写得好的话，完全可以出不借助任何工具（除了OD）放出一个脱壳机。 2004-11-25 14:21 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 105 楼最初由 OllyDbg 发布 :D 老罗的这个东西不仅仅是用来编写脱壳辅助脚本的，它可以实现更多的功能,足够你写个脱壳机出来~ODScript相比之下就差了很多~（代码无法抽取和写入被调程序） :D 加密代码可以写脚本还原，如果DumpAsPE写得好的话，完全可以出不借助任何工具（除了OD）放出一个脱壳机。 DumpAsPE 这个 API 其实早已经在我的一位好朋友的协助下完成，不过因为引入表的修复还没做好，所以我暂时把它屏蔽了。或者我先放出来吧，以后再慢慢完善？ :) 2004-11-25 14:29 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 106 楼老罗先放出来吧 BTW: OllyDbg ――这个ID强呀 :D 2004-11-25 14:39 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 107 楼好的，在0.14里面激活DumpAsPE，其实修复引入表应该可以使用别的更专业的工具，例如ImportREC之类的，我也不想做重复劳动了。 2004-11-25 15:03 0
tianhong_liu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tianhong_liu 108 楼怎么看不懂啊，呵呵，慢慢来，相信会有看懂的那一天 2004-11-25 19:44 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 109 楼内嵌汇编这个模块很难写，写了一天了都没有完成。 __asm { mov eax, 1 push 0 call ExitProcess } 最终很可能将会是上面的这种调用方式，即跟VC里面的一样。 2004-11-26 00:17 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 86 关注私信	fxyang 20 110 楼方式无所谓，重要的是能运行自己的代码。还有一个就是运行速度的问题。 2004-11-26 09:13 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 111 楼好东西就要顶。 2004-11-26 14:28 0
china 雪币： 4165 活跃值： (4832) 能力值： (RANK：215 ) 在线值：发帖 73 回帖 1993 粉丝 9 关注私信	china 5 112 楼支持支持！！！ 2004-11-26 15:47 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 113 楼 OllyMachine 0.14版发布。地址： 01eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4#2L8$3y4G2L8X3N6Q4x3X3g2U0L8$3#2Q4x3V1k6G2L8b7`.`. 更新如下： 1. 新增：两个新的输出API： * PrintBufToDump * PrintBufToNewDump 2. 激活：DumpAsPE，但目前的版本还不能修正引入表。(special thanks to Blue) 3. 修正：双引号字符串中的斜杠问题，例如"c:\ollydbg"会被识别为"c:ollydbg" DumpAsPE还没经过比较严格的测试，请各位朋友帮忙试试。注意：目前版本还不能修正引入表。下面给出一个完整的包含使用DumpAsPE的例子： /////////////////////////////////////////////////////////////////////////////// // // FileName : UPX.oms // Author : Luo Cong // Date : 2004-11-15 // Comment : Search "POPA" to get the OEP then dump to PE // /////////////////////////////////////////////////////////////////////////////// EOB Break1 invoke FindOpcode, eip, 0x61 mov reg01, reg00 invoke bphws, reg01, 1 run halt Break1: invoke bphwc, reg01 stepover stepover invoke msg, "Now will dump to PE, please input full path and filename." invoke InputText, "Please input filename for dumpping" invoke DumpAsPE, FreeBufferReg, eip 2004-11-26 16:08 0
采臣·宁雪币： 219 活跃值： (391) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 114 楼终于第一了！修正IAT，可以参考importREC_live源代码。如果你搜不到。我发给你。 2004-11-26 16:40 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 115 楼最初由采臣・宁发布修正IAT，可以参考importREC_live源代码。我个人认为修正IAT的工作可以用别的软件来完成，例如就用ImportREC。我也试过OllyScript的dump文件功能，但其实它对IAT也修复得不好。:( 2004-11-26 16:42 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 116 楼我个人认为修正IAT的工作可以用别的软件来完成，例如就用ImportREC。我也试过OllyScript的dump文件功能，但其实它对IAT也修复得不好。:( 2004-11-26 16:43 0
采臣·宁雪币： 219 活跃值： (391) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 117 楼这样也好。必竟ImportREC各方面的功能都做得不错了。其自定义功能也比较强。但你也可以写一个简化版的，提供一个函数来调用。这样就省了ImportREC了。脱壳就可以由脚本来一气呵成啊 2004-11-26 16:47 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 118 楼 Dump出来的文件能否默认以Dump.EXE(DLL)文件名保存在当前调试的进程目录内？ 2004-11-26 16:57 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 119 楼最初由 fly 发布 Dump出来的文件能否默认以Dump.EXE(DLL)文件名保存在当前调试的进程目录内？刚开始我也是这样考虑的，但从接口的设计来说，这不是一个好的方案，灵活度不够... 2004-11-26 17:19 0
loveboom 雪币： 557 活跃值： (2318) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 16 关注私信	loveboom 53 120 楼提一下，有没有加设置异常的功能进去，比如:"第一次要只记录内存异常，异常后我要忽略全部异常" 2004-11-26 17:37 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 121 楼最初由 loveboom 发布提一下，有没有加设置异常的功能进去，比如:"第一次要只记录内存异常，异常后我要忽略全部异常" 这个功能正在开发中，请稍微等待一下。 BTW，好像在OllyScript的当前最新版本中是没办法实现这个功能的？ 2004-11-26 17:48 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 122 楼查找还没有加进去阿。 2004-11-26 18:42 0
loveboom 雪币： 557 活跃值： (2318) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 16 关注私信	loveboom 53 123 楼 :D 是没有加，所以我才提这个嘛 2004-11-26 19:56 0
linhanshi 雪币： 102389 活跃值： (201659) 能力值： (RANK：10 ) 在线值：发帖 9282 回帖 27999 粉丝 470 关注私信	linhanshi 124 楼支持!!! 2004-11-26 21:04 0
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 125 楼老罗更新好快啊 2004-11-26 21:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

luocong

发帖

275

回帖

370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (244) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 101 楼最初由 auser 发布一个小建议，使用 invoke print系列, str 语句的时候，显示出来的对话框中的内容最好能让我们选择并copy下来。一个小技巧：直接在MessageBox那里按 Ctrl+C 就可以了，呵呵，试试看？不过我不太清楚有没有操作系统的限制。 2004-11-25 13:41 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 102 楼最初由 luocong 发布一个小技巧：直接在MessageBox那里按 Ctrl+C 就可以了，呵呵，试试看？不过我不太清楚有没有操作系统的限制。 98系统下不行。;) 2004-11-25 13:50 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 103 楼试了一下ctrl-c，确实可以copy下来！谢谢！如果能像IE窗口中的鼠标右键-〉属性-〉对话框可以自由选者欲copy的部分就更好了。 2004-11-25 13:52 0
OllyDbg 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 65 粉丝 0 关注私信	OllyDbg 104 楼最初由 David 发布太迟了,ODScript0.9x 已经相当成熟了,脚本命令已经掌握大部分,不明白老罗开发它有什么用. 不如开发其它方面的插件. :D 老罗的这个东西不仅仅是用来编写脱壳辅助脚本的，它可以实现更多的功能,足够你写个脱壳机出来~ODScript相比之下就差了很多~（代码无法抽取和写入被调程序） :D 加密代码可以写脚本还原，如果DumpAsPE写得好的话，完全可以出不借助任何工具（除了OD）放出一个脱壳机。 2004-11-25 14:21 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 105 楼最初由 OllyDbg 发布 :D 老罗的这个东西不仅仅是用来编写脱壳辅助脚本的，它可以实现更多的功能,足够你写个脱壳机出来~ODScript相比之下就差了很多~（代码无法抽取和写入被调程序） :D 加密代码可以写脚本还原，如果DumpAsPE写得好的话，完全可以出不借助任何工具（除了OD）放出一个脱壳机。 DumpAsPE 这个 API 其实早已经在我的一位好朋友的协助下完成，不过因为引入表的修复还没做好，所以我暂时把它屏蔽了。或者我先放出来吧，以后再慢慢完善？ :) 2004-11-25 14:29 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 106 楼老罗先放出来吧 BTW: OllyDbg ――这个ID强呀 :D 2004-11-25 14:39 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 107 楼好的，在0.14里面激活DumpAsPE，其实修复引入表应该可以使用别的更专业的工具，例如ImportREC之类的，我也不想做重复劳动了。 2004-11-25 15:03 0
tianhong_liu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tianhong_liu 108 楼怎么看不懂啊，呵呵，慢慢来，相信会有看懂的那一天 2004-11-25 19:44 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 109 楼内嵌汇编这个模块很难写，写了一天了都没有完成。 __asm { mov eax, 1 push 0 call ExitProcess } 最终很可能将会是上面的这种调用方式，即跟VC里面的一样。 2004-11-26 00:17 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 86 关注私信	fxyang 20 110 楼方式无所谓，重要的是能运行自己的代码。还有一个就是运行速度的问题。 2004-11-26 09:13 0
wxj_2008 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	wxj_2008 111 楼好东西就要顶。 2004-11-26 14:28 0
china 雪币： 4165 活跃值： (4832) 能力值： (RANK：215 ) 在线值：发帖 73 回帖 1993 粉丝 9 关注私信	china 5 112 楼支持支持！！！ 2004-11-26 15:47 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 113 楼 OllyMachine 0.14版发布。地址： 01eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4#2L8$3y4G2L8X3N6Q4x3X3g2U0L8$3#2Q4x3V1k6G2L8b7`.`. 更新如下： 1. 新增：两个新的输出API： * PrintBufToDump * PrintBufToNewDump 2. 激活：DumpAsPE，但目前的版本还不能修正引入表。(special thanks to Blue) 3. 修正：双引号字符串中的斜杠问题，例如"c:\ollydbg"会被识别为"c:ollydbg" DumpAsPE还没经过比较严格的测试，请各位朋友帮忙试试。注意：目前版本还不能修正引入表。下面给出一个完整的包含使用DumpAsPE的例子： /////////////////////////////////////////////////////////////////////////////// // // FileName : UPX.oms // Author : Luo Cong // Date : 2004-11-15 // Comment : Search "POPA" to get the OEP then dump to PE // /////////////////////////////////////////////////////////////////////////////// EOB Break1 invoke FindOpcode, eip, 0x61 mov reg01, reg00 invoke bphws, reg01, 1 run halt Break1: invoke bphwc, reg01 stepover stepover invoke msg, "Now will dump to PE, please input full path and filename." invoke InputText, "Please input filename for dumpping" invoke DumpAsPE, FreeBufferReg, eip 2004-11-26 16:08 0
采臣·宁雪币： 219 活跃值： (391) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 114 楼终于第一了！修正IAT，可以参考importREC_live源代码。如果你搜不到。我发给你。 2004-11-26 16:40 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 115 楼最初由采臣・宁发布修正IAT，可以参考importREC_live源代码。我个人认为修正IAT的工作可以用别的软件来完成，例如就用ImportREC。我也试过OllyScript的dump文件功能，但其实它对IAT也修复得不好。:( 2004-11-26 16:42 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 116 楼我个人认为修正IAT的工作可以用别的软件来完成，例如就用ImportREC。我也试过OllyScript的dump文件功能，但其实它对IAT也修复得不好。:( 2004-11-26 16:43 0
采臣·宁雪币： 219 活跃值： (391) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 117 楼这样也好。必竟ImportREC各方面的功能都做得不错了。其自定义功能也比较强。但你也可以写一个简化版的，提供一个函数来调用。这样就省了ImportREC了。脱壳就可以由脚本来一气呵成啊 2004-11-26 16:47 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 118 楼 Dump出来的文件能否默认以Dump.EXE(DLL)文件名保存在当前调试的进程目录内？ 2004-11-26 16:57 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 119 楼最初由 fly 发布 Dump出来的文件能否默认以Dump.EXE(DLL)文件名保存在当前调试的进程目录内？刚开始我也是这样考虑的，但从接口的设计来说，这不是一个好的方案，灵活度不够... 2004-11-26 17:19 0
loveboom 雪币： 557 活跃值： (2318) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 16 关注私信	loveboom 53 120 楼提一下，有没有加设置异常的功能进去，比如:"第一次要只记录内存异常，异常后我要忽略全部异常" 2004-11-26 17:37 0
luocong 雪币： 1583 活跃值： (866) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 21 关注私信	luocong 9 121 楼最初由 loveboom 发布提一下，有没有加设置异常的功能进去，比如:"第一次要只记录内存异常，异常后我要忽略全部异常" 这个功能正在开发中，请稍微等待一下。 BTW，好像在OllyScript的当前最新版本中是没办法实现这个功能的？ 2004-11-26 17:48 0
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 122 楼查找还没有加进去阿。 2004-11-26 18:42 0
loveboom 雪币： 557 活跃值： (2318) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 16 关注私信	loveboom 53 123 楼 :D 是没有加，所以我才提这个嘛 2004-11-26 19:56 0
linhanshi 雪币： 102389 活跃值： (201659) 能力值： (RANK：10 ) 在线值：发帖 9282 回帖 27999 粉丝 470 关注私信	linhanshi 124 楼支持!!! 2004-11-26 21:04 0
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 125 楼老罗更新好快啊 2004-11-26 21:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复