首页
社区
课程
招聘
[旧帖] [求助]牛壳,请教高手~~~ 0.00雪花
发表于: 2008-8-8 19:10 3765

[旧帖] [求助]牛壳,请教高手~~~ 0.00雪花

2008-8-8 19:10
3765
PEID查壳为ASPack 2.12 -> Alexey Solodovnikov,看上去很简单,但脱壳修复后发现出错,
不是自校验,修复没问题,不知道怎么搞,请教高手,此为一外挂的程序。外挂地址:www.play17.com外挂官网

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
还有一点,脱壳后的OEP和PEID查的OEP不一致,应该是PEID查的是正确的,不知道怎么脱壳了,帽似简单的壳,却N难
2008-8-8 19:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
ASPACK的壳都没人遇到过这问题吗?
2008-8-9 14:48
0
雪    币: 134
活跃值: (84)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
4
688ca2处看到可爱的jmp eax..........................
2008-8-9 15:57
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
4楼的啥意思?
2008-8-9 18:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
那个地方跳到OEP是有问题的,和PEID查的OEP不同,DUMP出来修复后也运行不起来
2008-8-9 18:15
0
雪    币: 134
活跃值: (84)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
7
你仔细在调试下就明白了, "vdai.exe 1 2 3"而且还有其他自检验。
2008-8-9 18:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
好像不止ASpack?
2008-8-9 21:13
0
雪    币: 206
活跃值: (127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
实际的主程序是  mrxd.exe

它的壳   PECompact 2.x -> Jeremy Collake
2008-8-9 22:03
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
最近在学习脱壳,遂拿来试试:
0041D001 >  60              pushad   ;OD载入停在这里
0041D002    E8 03000000     call    0041D00A    ;按F7来到此句
0041D007  - E9 EB045D45     jmp     459ED4F7
0041D00C    55              push    ebp
0041D00D    C3              retn

然后在命令行 d 12ffc0;在数据面板(左下角,命令行上面),显示 长型-ASCII数据地址
然后在12ffc0处 断点-硬件写入-Dword,按F9运行,第一次停在Retn,第二次来到OEP+1的地方:
004139C0    55              push    ebp
004139C1    8BEC            mov     ebp, esp  ;OD运行到此处
004139C3    B9 08000000     mov     ecx, 8
004139C8    6A 00           push    0
004139CA    6A 00           push    0
004139CC    49              dec     ecx

用OD脱壳,修改OEP为004139C0,方式一脱壳正常运行,方式二需ImportREC修复。
2008-8-9 22:03
0
游客
登录 | 注册 方可回帖
返回
//