能力值:
( LV2,RANK:10 )
|
-
-
26 楼
每天都来看看,有没有新成果.
|
能力值:
( LV2,RANK:10 )
|
-
-
27 楼
楼主旅游去了?
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
期待楼主!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
29 楼
用OD装入LZ提供的例子exe,先弹出一个入口点超出范围的警告。
我运行新版脚本1,OD弹出一个红叉对话框
错误,位于行39
文本:mov temp,$RESULT+8
*************************
汇编窗口停在:
0066964E C685 6D247409 56 MOV BYTE PTR SS:[EBP+974246D],56
************************
然后我把脚本工具由1.3升级到1.6,装载LZ提供的findfile.exe,脚本1正常运行,msg到6个断点。
但是,我调试另一个EXE时,脚本就不起作用了,一直运行下去直到OD异常,而且EXE还运行起来了。
怎么办呢? 建议LZ多测试一些加壳的
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
估计楼主正在测试!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
|
能力值:
( LV9,RANK:570 )
|
-
-
32 楼
国庆外出了,因疲倦且很忙,所以几天都没上网了。国庆前我看了一下Themida的两个版本(1.8-1.9),都没有次数限制的设置(?)。(或许我没有找到设置的选项?或许我的Themida只是演示版),所以我以为次数限制的代码在主程序中,与Themida无关,故也未继续研究下去。另:你说重装系统后可以运行,说明它在注册表中或其它什么地方写入了记录。这用注册表监视器或许可以发现。如果的确是Thmeda设置的次数限制,抽空我再研究一下。
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
希望楼主能在脚本2的基础上,增加寻找OEP的方法.
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
楼主,下面的链接可能对你分析TMD,有帮肋!
http://www.unpack.cn/viewthread.php?tid=29311&pid=308931&page=1&extra=page%3D1#pid308931
另: [转贴]http://www.unpack.cn/viewthread.php?tid=29302&extra=page%3D1
清理themida 2.x的PUSH,JMP之间的垃圾代码!
今天看了一个THEMIDA2.X的加壳程序,在PUSH XXXXX,JMP XXXXX之间加了很多垃圾代码,所以学写了个脚本来清理一下,请大家指教
00B3F829 68 B1EAD644 push 44D6EAB1
00B3F82E ^ E9 5621FFFF jmp 00B31989
00B3F833 81D7 D8E42AEE adc edi, EE2AE4D8 /*垃圾代码
00B3F839 78 1E js short 00B3F859
00B3F83B EF out dx, eax
00B3F83C 34 C7 xor al, 0C7 */
00B3F83E 68 BB95BA26 push 26BA95BB
00B3F843 ^ E9 4121FFFF jmp 00B31989
00B3F848 46 inc esi /*全是垃圾
00B3F849 09C3 or ebx, eax
00B3F84B 48 dec eax
00B3F84C AB stos dword ptr es:[edi]
00B3F84D 2068 B3 and byte ptr [eax-4D], ch */
00B3F850 2A4D 6E sub cl, byte ptr [ebp+6E]
00B3F853 ^ E9 3121FFFF jmp 00B31989
脚本:
data:
var begcode
var prebegcode
var vm_jmp
var putlength
var count
cmp $VERSION, "1.52"
jb lowodbg
mov begcode,00b3f82e //开始清理的地址JMP XXXXXX
gogo:
mov prebegcode,begcode
add prebegcode,1
log prebegcode
find prebegcode,#E9????FFFF# //#E9????FFFF# JMP XXXXXX的汇编指令
mov begcode,$RESULT
cmp begcode,0
je nofind
log begcode
add begcode,1
mov vm_jmp ,[begcode]
sub begcode,1
add vm_jmp,begcode //目标地址=源地址+跳转长度+5
add vm_jmp,5
cmp vm_jmp,00b31989 //JMP XXXXXX的XXXXXX地址
jnz stop
cmp prebegcode,0
je gogo
mov putlength,begcode
add prebegcode,4
log prebegcode
sub putlength,prebegcode
sub putlength,5
log putlength
cmp putlength,20 //垃圾代码的长度
ja stop
fill prebegcode,putlength,90 //填充90
add count,1
jmp gogo
stop:
log count
msg "Clear!"
ret
nofind:
msg "Clear nothing"
ret
lowodbg:
msg "Please use the ODbgscript 1.52"
ret
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
还不错吗!!!
学习ing......
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
直接打包一个OLLYDBG到网盘啦,这样就不会让大家乱找插件了
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
请楼主完善一下.
脚本2运行完后,如何找OEP
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
可以把你的OD还有插件需要用的工具一块打包上来吗,这样跟你一样就比较好操作
|
能力值:
( LV9,RANK:570 )
|
-
-
39 楼
回38楼:现将我使用的OllyIce及其全部附件打包上来,其实与www.pediy.com下载的也没有太大的差别。
刚发现打包尺寸太大,传不上来,只好只传plugin的内容,解压到OllyIce相应的文件夹即可。OllyIce可到www.pediy.com工具页上去下载。
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
楼主下面有一个TMD的文件太大我用分割器分4个文件在压缩上传了,最后一个是分割器文件,你要先把前面4个文件解压出来拷贝到同一个文件夹,在用分割器就是第5个组合他们.
|
能力值:
( LV2,RANK:10 )
|
-
-
42 楼
用了脚本一他就提示下面图 程式就跑起来了
|
能力值:
( LV2,RANK:10 )
|
-
-
43 楼
你要是看不懂我表达的意思 加我QQ873009779
|
能力值:
( LV2,RANK:10 )
|
-
-
44 楼
好象是DELP写的 运行脚本就这样了改如何下手
|
能力值:
( LV2,RANK:10 )
|
-
-
45 楼
脚本2断不下来.
脚本1中,得到addr_1_0 and addr_1_1两组数,不明白如何引用到脚本2中.
|
能力值:
( LV2,RANK:10 )
|
-
-
46 楼
过了脚本2,竟然找不到api.
|
能力值:
( LV2,RANK:10 )
|
-
-
47 楼
附件 卡巴 报毒
|
能力值:
( LV2,RANK:10 )
|
-
-
48 楼
强烈感谢你给我提供的宝贵研究意见!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
49 楼
不知怎么回事我用到第二个脚本就不能成功,恳请指导
|
能力值:
( LV2,RANK:10 )
|
-
-
50 楼
樓主,這個腳本怎么連那個附件里的自帶的文件查找軟件都不能脫,運行腳本提示查找失敗。希望樓主解惑!!!
|
