能力值:
( LV13,RANK:370 )
101 楼
最初由 auser 发布 一个小建议,使用 invoke print系列, str 语句的时候,显示出来的对话框中的内容最好能让我们选择并copy下来。
一个小技巧:
直接在MessageBox那里按 Ctrl+C 就可以了,呵呵,试试看?不过我不太清楚有没有操作系统的限制。
能力值:
(RANK:410 )
102 楼
最初由 luocong 发布 一个小技巧: 直接在MessageBox那里按 Ctrl+C 就可以了,呵呵,试试看?不过我不太清楚有没有操作系统的限制。
98系统下不行。;)
能力值:
( LV2,RANK:10 )
103 楼
试了一下ctrl-c,确实可以copy下来!谢谢!
如果能像IE窗口中的
鼠标右键-〉属性-〉对话框
可以自由选者欲copy的部分就更好了。
能力值:
( LV2,RANK:10 )
104 楼
最初由 David 发布 太迟了,ODScript0.9x 已经相当成熟了,脚本命令已经掌握大部分,不明白老罗开发它有什么用. 不如开发其它方面的插件.
:D 老罗的这个东西不仅仅是用来编写脱壳辅助脚本的,它可以实现更多的功能,足够你写个脱壳机出来~ODScript相比之下就差了很多~(代码无法抽取和写入被调程序)
:D 加密代码可以写脚本还原,如果DumpAsPE写得好的话,完全可以出不借助任何工具(除了OD)放出一个脱壳机。
能力值:
( LV13,RANK:370 )
105 楼
最初由 OllyDbg 发布 :D 老罗的这个东西不仅仅是用来编写脱壳辅助脚本的,它可以实现更多的功能,足够你写个脱壳机出来~ODScript相比之下就差了很多~(代码无法抽取和写入被调程序) :D 加密代码可以写脚本还原,如果DumpAsPE写得好的话,完全可以出不借助任何工具(除了OD)放出一个脱壳机。
DumpAsPE 这个 API 其实早已经在我的一位好朋友的协助下完成,不过因为引入表的修复还没做好,所以我暂时把它屏蔽了。或者我先放出来吧,以后再慢慢完善? :)
能力值:
( LV9,RANK:3410 )
106 楼
老罗先放出来吧
BTW: OllyDbg
――这个ID强呀
:D
能力值:
( LV13,RANK:370 )
107 楼
好的,在0.14里面激活DumpAsPE,其实修复引入表应该可以使用别的更专业的工具,例如ImportREC之类的,我也不想做重复劳动了。
能力值:
( LV2,RANK:10 )
108 楼
怎么看不懂啊,呵呵,慢慢来,相信会有看懂的那一天
能力值:
( LV13,RANK:370 )
109 楼
内嵌汇编这个模块很难写,写了一天了都没有完成。
__asm { mov eax, 1 push 0 call ExitProcess }
最终很可能将会是上面的这种调用方式,即跟VC里面的一样。
能力值:
( LV12,RANK:810 )
110 楼
方式无所谓,重要的是能运行自己的代码。还有一个就是运行速度的问题。
能力值:
( LV2,RANK:10 )
111 楼
好东西就要顶。
能力值:
(RANK:215 )
112 楼
支持支持!!!
能力值:
( LV13,RANK:370 )
113 楼
OllyMachine 0.14版发布。
地址:
http://www.luocong.com/om
更新如下:
1. 新增:两个新的输出API:
* PrintBufToDump
* PrintBufToNewDump
2. 激活:DumpAsPE,但目前的版本还不能修正引入表。(special thanks to Blue)
3. 修正:双引号字符串中的斜杠问题,例如"c:\ollydbg"会被识别为"c:ollydbg"
DumpAsPE还没经过比较严格的测试,请各位朋友帮忙试试。注意:目前版本还不能修正引入表。
下面给出一个完整的包含使用DumpAsPE的例子:
/////////////////////////////////////////////////////////////////////////////// // // FileName : UPX.oms // Author : Luo Cong // Date : 2004-11-15 // Comment : Search "POPA" to get the OEP then dump to PE // /////////////////////////////////////////////////////////////////////////////// EOB Break1 invoke FindOpcode, eip, 0x61 mov reg01, reg00 invoke bphws, reg01, 1 run halt Break1: invoke bphwc, reg01 stepover stepover invoke msg, "Now will dump to PE, please input full path and filename." invoke InputText, "Please input filename for dumpping" invoke DumpAsPE, FreeBufferReg, eip
能力值:
( LV4,RANK:50 )
114 楼
终于第一了!
修正IAT,可以参考importREC_live源代码。如果你搜不到。我发给你。
能力值:
( LV13,RANK:370 )
115 楼
最初由 采臣・宁 发布 修正IAT,可以参考importREC_live源代码。
我个人认为修正IAT的工作可以用别的软件来完成,例如就用ImportREC。我也试过OllyScript的dump文件功能,但其实它对IAT也修复得不好。:(
能力值:
( LV13,RANK:370 )
116 楼
我个人认为修正IAT的工作可以用别的软件来完成,例如就用ImportREC。我也试过OllyScript的dump文件功能,但其实它对IAT也修复得不好。:(
能力值:
( LV4,RANK:50 )
117 楼
这样也好。必竟ImportREC各方面的功能都做得不错了。其自定义功能也比较强。但你也可以写一个简化版的,提供一个函数来调用。这样就省了ImportREC了。脱壳就可以由脚本来一气呵成啊
能力值:
( LV9,RANK:3410 )
118 楼
Dump出来的文件能否默认以Dump.EXE(DLL)文件名保存在当前调试的进程目录内?
能力值:
( LV13,RANK:370 )
119 楼
最初由 fly 发布 Dump出来的文件能否默认以Dump.EXE(DLL)文件名保存在当前调试的进程目录内?
刚开始我也是这样考虑的,但从接口的设计来说,这不是一个好的方案,灵活度不够...
能力值:
( LV9,RANK:2130 )
120 楼
提一下,有没有加设置异常的功能进去,比如:"第一次要只记录内存异常,异常后我要忽略全部异常"
能力值:
( LV13,RANK:370 )
121 楼
最初由 loveboom 发布 提一下,有没有加设置异常的功能进去,比如:"第一次要只记录内存异常,异常后我要忽略全部异常"
这个功能正在开发中,请稍微等待一下。
BTW,好像在OllyScript的当前最新版本中是没办法实现这个功能的?
能力值:
(RANK:460 )
122 楼
查找还没有加进去阿。
能力值:
( LV9,RANK:2130 )
123 楼
:D
是没有加,所以我才提这个嘛
能力值:
(RANK:10 )
124 楼
支持!!!
能力值:
( LV4,RANK:50 )
125 楼
老罗更新好快啊