[求助]牛壳，请教高手~~~-¥付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	nest 2008-8-8 19:12 2 楼 0 还有一点，脱壳后的OEP和PEID查的OEP不一致，应该是PEID查的是正确的，不知道怎么脱壳了，帽似简单的壳，却N难
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	nest 2008-8-9 14:48 3 楼 0 ASPACK的壳都没人遇到过这问题吗？
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 25 回帖 451 粉丝 7 关注私信	NWMonster 1 2008-8-9 15:57 4 楼 0 688ca2处看到可爱的jmp eax..........................
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	nest 2008-8-9 18:12 5 楼 0 4楼的啥意思？
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	nest 2008-8-9 18:15 6 楼 0 那个地方跳到OEP是有问题的，和PEID查的OEP不同，DUMP出来修复后也运行不起来
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 25 回帖 451 粉丝 7 关注私信	NWMonster 1 2008-8-9 18:27 7 楼 0 你仔细在调试下就明白了， "vdai.exe 1 2 3"而且还有其他自检验。
guoqianyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	guoqianyi 2008-8-9 21:13 8 楼 0 好像不止ASpack？
veneryz 雪币： 207 活跃值： (77) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	veneryz 2008-8-9 22:03 9 楼 0 实际的主程序是 mrxd.exe 它的壳 PECompact 2.x -> Jeremy Collake
youngbird 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	youngbird 2008-8-9 22:03 10 楼 0 最近在学习脱壳，遂拿来试试： 0041D001 > 60 pushad ;OD载入停在这里 0041D002 E8 03000000 call 0041D00A ;按F7来到此句 0041D007 - E9 EB045D45 jmp 459ED4F7 0041D00C 55 push ebp 0041D00D C3 retn 然后在命令行 d 12ffc0;在数据面板（左下角，命令行上面），显示长型－ASCII数据地址然后在12ffc0处断点－硬件写入－Dword，按F9运行，第一次停在Retn，第二次来到OEP+1的地方： 004139C0 55 push ebp 004139C1 8BEC mov ebp, esp ;OD运行到此处 004139C3 B9 08000000 mov ecx, 8 004139C8 6A 00 push 0 004139CA 6A 00 push 0 004139CC 49 dec ecx 用OD脱壳，修改OEP为004139C0，方式一脱壳正常运行，方式二需ImportREC修复。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	nest 2008-8-8 19:12 2 楼 0 还有一点，脱壳后的OEP和PEID查的OEP不一致，应该是PEID查的是正确的，不知道怎么脱壳了，帽似简单的壳，却N难
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	nest 2008-8-9 14:48 3 楼 0 ASPACK的壳都没人遇到过这问题吗？
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 25 回帖 451 粉丝 7 关注私信	NWMonster 1 2008-8-9 15:57 4 楼 0 688ca2处看到可爱的jmp eax..........................
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	nest 2008-8-9 18:12 5 楼 0 4楼的啥意思？
nest 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	nest 2008-8-9 18:15 6 楼 0 那个地方跳到OEP是有问题的，和PEID查的OEP不同，DUMP出来修复后也运行不起来
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 25 回帖 451 粉丝 7 关注私信	NWMonster 1 2008-8-9 18:27 7 楼 0 你仔细在调试下就明白了， "vdai.exe 1 2 3"而且还有其他自检验。
guoqianyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	guoqianyi 2008-8-9 21:13 8 楼 0 好像不止ASpack？
veneryz 雪币： 207 活跃值： (77) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	veneryz 2008-8-9 22:03 9 楼 0 实际的主程序是 mrxd.exe 它的壳 PECompact 2.x -> Jeremy Collake
youngbird 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	youngbird 2008-8-9 22:03 10 楼 0 最近在学习脱壳，遂拿来试试： 0041D001 > 60 pushad ;OD载入停在这里 0041D002 E8 03000000 call 0041D00A ;按F7来到此句 0041D007 - E9 EB045D45 jmp 459ED4F7 0041D00C 55 push ebp 0041D00D C3 retn 然后在命令行 d 12ffc0;在数据面板（左下角，命令行上面），显示长型－ASCII数据地址然后在12ffc0处断点－硬件写入－Dword，按F9运行，第一次停在Retn，第二次来到OEP+1的地方： 004139C0 55 push ebp 004139C1 8BEC mov ebp, esp ;OD运行到此处 004139C3 B9 08000000 mov ecx, 8 004139C8 6A 00 push 0 004139CA 6A 00 push 0 004139CC 49 dec ecx 用OD脱壳，修改OEP为004139C0，方式一脱壳正常运行，方式二需ImportREC修复。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[旧帖] [求助]牛壳，请教高手~~~ 0.00雪花