首页
社区
课程
招聘
12月7日升级――OllyMachine v0.20最终版
发表于: 2004-11-15 20:37 66781

12月7日升级――OllyMachine v0.20最终版

2004-11-15 20:37
66781
收藏
免费 1
支持
分享
最新回复 (244)
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
101
最初由 auser 发布
一个小建议,使用
invoke print系列, str
语句的时候,显示出来的对话框中的内容最好能让我们选择并copy下来。


一个小技巧:
直接在MessageBox那里按 Ctrl+C 就可以了,呵呵,试试看?不过我不太清楚有没有操作系统的限制。
2004-11-25 13:41
0
雪    币: 2384
活跃值: (766)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
102
最初由 luocong 发布


一个小技巧:
直接在MessageBox那里按 Ctrl+C 就可以了,呵呵,试试看?不过我不太清楚有没有操作系统的限制。

98系统下不行。;)
2004-11-25 13:50
0
雪    币: 234
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
103
试了一下ctrl-c,确实可以copy下来!谢谢!

如果能像IE窗口中的
鼠标右键-〉属性-〉对话框
可以自由选者欲copy的部分就更好了。
2004-11-25 13:52
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
104
最初由 David 发布
太迟了,ODScript0.9x 已经相当成熟了,脚本命令已经掌握大部分,不明白老罗开发它有什么用.

不如开发其它方面的插件.

:D 老罗的这个东西不仅仅是用来编写脱壳辅助脚本的,它可以实现更多的功能,足够你写个脱壳机出来~ODScript相比之下就差了很多~(代码无法抽取和写入被调程序)

:D 加密代码可以写脚本还原,如果DumpAsPE写得好的话,完全可以出不借助任何工具(除了OD)放出一个脱壳机。
2004-11-25 14:21
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
105
最初由 OllyDbg 发布

:D 老罗的这个东西不仅仅是用来编写脱壳辅助脚本的,它可以实现更多的功能,足够你写个脱壳机出来~ODScript相比之下就差了很多~(代码无法抽取和写入被调程序)

:D 加密代码可以写脚本还原,如果DumpAsPE写得好的话,完全可以出不借助任何工具(除了OD)放出一个脱壳机。


DumpAsPE 这个 API 其实早已经在我的一位好朋友的协助下完成,不过因为引入表的修复还没做好,所以我暂时把它屏蔽了。或者我先放出来吧,以后再慢慢完善? :)
2004-11-25 14:29
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
106
老罗先放出来吧

BTW:  OllyDbg  
      ――这个ID强呀   
      :D
2004-11-25 14:39
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
107
好的,在0.14里面激活DumpAsPE,其实修复引入表应该可以使用别的更专业的工具,例如ImportREC之类的,我也不想做重复劳动了。
2004-11-25 15:03
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
108
怎么看不懂啊,呵呵,慢慢来,相信会有看懂的那一天
2004-11-25 19:44
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
109
内嵌汇编这个模块很难写,写了一天了都没有完成。

__asm
{
mov eax, 1
push 0
call ExitProcess
}


最终很可能将会是上面的这种调用方式,即跟VC里面的一样。
2004-11-26 00:17
0
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
110
方式无所谓,重要的是能运行自己的代码。还有一个就是运行速度的问题。
2004-11-26 09:13
0
雪    币: 155
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
111
好东西就要顶。
2004-11-26 14:28
0
雪    币: 3814
活跃值: (4382)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
112
支持支持!!!
2004-11-26 15:47
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
113
OllyMachine 0.14版发布。

地址: http://www.luocong.com/om

更新如下:

1. 新增:两个新的输出API:
* PrintBufToDump
* PrintBufToNewDump

2. 激活:DumpAsPE,但目前的版本还不能修正引入表。(special thanks to Blue)

3. 修正:双引号字符串中的斜杠问题,例如"c:\ollydbg"会被识别为"c:ollydbg"

DumpAsPE还没经过比较严格的测试,请各位朋友帮忙试试。注意:目前版本还不能修正引入表。

下面给出一个完整的包含使用DumpAsPE的例子:

///////////////////////////////////////////////////////////////////////////////
//
// FileName : UPX.oms
// Author : Luo Cong
// Date : 2004-11-15
// Comment : Search "POPA" to get the OEP then dump to PE
//
///////////////////////////////////////////////////////////////////////////////

EOB Break1

invoke FindOpcode, eip, 0x61
mov reg01, reg00
invoke bphws, reg01, 1

run
halt

Break1:

invoke bphwc, reg01

stepover
stepover

invoke msg, "Now will dump to PE, please input full path and filename."
invoke InputText, "Please input filename for dumpping"
invoke DumpAsPE, FreeBufferReg, eip
2004-11-26 16:08
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
114
终于第一了!
修正IAT,可以参考importREC_live源代码。如果你搜不到。我发给你。
2004-11-26 16:40
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
115
最初由 采臣・宁 发布
修正IAT,可以参考importREC_live源代码。


我个人认为修正IAT的工作可以用别的软件来完成,例如就用ImportREC。我也试过OllyScript的dump文件功能,但其实它对IAT也修复得不好。:(
2004-11-26 16:42
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
116
我个人认为修正IAT的工作可以用别的软件来完成,例如就用ImportREC。我也试过OllyScript的dump文件功能,但其实它对IAT也修复得不好。:(
2004-11-26 16:43
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
117
这样也好。必竟ImportREC各方面的功能都做得不错了。其自定义功能也比较强。但你也可以写一个简化版的,提供一个函数来调用。这样就省了ImportREC了。脱壳就可以由脚本来一气呵成啊
2004-11-26 16:47
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
118
Dump出来的文件能否默认以Dump.EXE(DLL)文件名保存在当前调试的进程目录内?
2004-11-26 16:57
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
119
最初由 fly 发布
Dump出来的文件能否默认以Dump.EXE(DLL)文件名保存在当前调试的进程目录内?


刚开始我也是这样考虑的,但从接口的设计来说,这不是一个好的方案,灵活度不够...
2004-11-26 17:19
0
雪    币: 557
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
120
提一下,有没有加设置异常的功能进去,比如:"第一次要只记录内存异常,异常后我要忽略全部异常"
2004-11-26 17:37
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
121
最初由 loveboom 发布
提一下,有没有加设置异常的功能进去,比如:"第一次要只记录内存异常,异常后我要忽略全部异常"


这个功能正在开发中,请稍微等待一下。
BTW,好像在OllyScript的当前最新版本中是没办法实现这个功能的?
2004-11-26 17:48
0
雪    币: 1223
活跃值: (469)
能力值: (RANK:460 )
在线值:
发帖
回帖
粉丝
122
查找还没有加进去阿。
2004-11-26 18:42
0
雪    币: 557
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
123
:D 是没有加,所以我才提这个嘛
2004-11-26 19:56
0
雪    币: 98674
活跃值: (200999)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
124
支持!!!
2004-11-26 21:04
0
雪    币: 221
活跃值: (55)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
125
老罗更新好快啊
2004-11-26 21:14
0
游客
登录 | 注册 方可回帖
返回
//