能力值:
( LV10,RANK:160 )
|
-
-
2 楼
关注中。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
也想知道~~等~
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
我也正在为这个问题烦恼呢!
|
能力值:
(RANK:260 )
|
-
-
5 楼
我给你说个思路,看行不行。
你是已经DUMP主程序了,是吧
你同时跟踪压缩过的程序和主程序。
在脱壳后主程序中下断CreateFileA,如果原来程序是通过这个API来访问附加的视频文件数据的话,在播放文件时会中断下来。然后返回到用户代码中。
现在来到压缩过的那个程序,Ctrl+G来到同样的地方,因为MOLE会偷API开头的字节,所以你看到本来应该调用CreateFile的地方却调用了其它函数。
不管它,因为它就是CreateFile。F8后看EAX,如果不是-1,那么就是有效的文件句柄。
关键到了:不管它下面是ReadFile还是CreateFileMapping,你只要找到缓冲区,然后DUMP出来就是了。
PS.如果程序不是CreateFile打开可执行文件本身的方法来访问附加数据,而是其它方法,比如LoadResource,方法是类似的。
因为mole压缩后,会把所有对系统API的调用都转向它“偷来的函数开头的代码”,然后再跳向真正的API函数(不是开头而是下面的几个字节,这样是为了对付API断点),所以需要先用脱壳后的主程序找到正确的代码位置。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
学习一下,提附加数据可是复杂啊
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
今天我也碰到了 脱不了啊
|
|
|