首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]小弟有一事不明 0.00雪花
发表于: 2008-10-4 03:59 4137

[旧帖] [求助]小弟有一事不明 0.00雪花

qands 活跃值
2008-10-4 03:59
4137
一个e语言写的软件脱壳修复后,在其他机器上基本都不能运行(试了10台2台能用),可本机运行良好,在其他机器上脱壳后本机也无法运行。
用od打开看了看。这里出了问题
本机脱壳的:
00403EC4    FF15 54205000   call    dword ptr [<&kernel32.#520>]     ; kernel32.HeapCreate
00403ECA    85C0            test    eax, eax
00403ECC    A3 509F4000     mov     dword ptr [409F50], eax
00403ED1    74 15           je      short 00403EE8
00403ED3    E8 17000000     call    00403EEF
00403ED8    85C0            test    eax, eax
00403EDA    75 0F           jnz     short 00403EEB
00403EDC    FF35 509F4000   push    dword ptr [409F50]
00403EE2    FF15 50205000   call    dword ptr [<&kernel32.#522>]     ; kernel32.HeapDestroy
00403EE8    33C0            xor     eax, eax
00403EEA    C3              retn
00403EEB    6A 01           push    1
00403EED    58              pop     eax
00403EEE    C3              retn
00403EEF    68 40010000     push    140
00403EF4    6A 00           push    0
00403EF6    FF35 509F4000   push    dword ptr [409F50]
00403EFC    FF15 34205000   call    dword ptr [<&kernel32.#518>]     ; ntdll.RtlAllocateHeap

非本机的:
00403EC4    FF15 54205000   call    dword ptr [<&kernel32.#520>]     ; kernel32.HeapDestroy
00403ECA    85C0            test    eax, eax
00403ECC    A3 509F4000     mov     dword ptr [409F50], eax
00403ED1    74 15           je      short 00403EE8
00403ED3    E8 17000000     call    00403EEF
00403ED8    85C0            test    eax, eax
00403EDA    75 0F           jnz     short 00403EEB
00403EDC    FF35 509F4000   push    dword ptr [409F50]
00403EE2    FF15 50205000   call    dword ptr [<&kernel32.#522>]     ; ntdll.RtlFreeHeap
00403EE8    33C0            xor     eax, eax
00403EEA    C3              retn
00403EEB    6A 01           push    1
00403EED    58              pop     eax
00403EEE    C3              retn
00403EEF    68 40010000     push    140
00403EF4    6A 00           push    0
00403EF6    FF35 509F4000   push    dword ptr [409F50]
00403EFC    FF15 34205000   call    dword ptr [<&kernel32.#518>]     ; kernel32.HeapCreate
00403F02    85C0            test    eax, eax
00403F04    A3 4C9F4000     mov     dword ptr [409F4C], eax
00403F09    75 01           jnz     short 00403F0C

代码都一模一样,可一个注释为 kernel32.HeapCreate,一个注释为kernel32.HeapDestroy,偶就不明所以了

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
jjnet
雪    币: 101
活跃值: (12)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
2
没重建导入表
2008-10-4 05:59
0
ufozhyufo
雪    币: 239
活跃值: (11)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
3
[QUOTE=qands;516237]一个e语言写的软件脱壳修复后,在其他机器上基本都不能运行(试了10台2台能用),可本机运行良好,在其他机器上脱壳后本机也无法运行。
用od打开看了看。这里出了问题
本机脱壳的:
00403EC4    FF15 54205000   call    dword ptr [<&kernel32....[/QUOTE]
本机脱壳的文件与非本机的文件完全相同吗?
2008-10-4 08:47
0
qands
雪    币: 193
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
大小是一模一样的,至于是否完全一致没有细看
2008-10-4 13:55
0
peeler
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
用ImportREC修复了吗?如果不修复是会出现跨平台问题!
2008-10-4 20:49
0
qands
雪    币: 193
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
修复了的,壳是upx overlay,脱过很多次了绝对不会脱错
2008-10-4 22:16
0
peeler
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
ntdll.dll RtlAllocateHeap 这个函数会出现跨平台问题,用importREC手工修复成kernel32.dll HeapAlloc
2008-10-4 23:35
0
qands
雪    币: 193
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
问题解决了
importREC自动修复的有问题,地址全乱了,手动修复后就行了
2008-10-5 02:07
0
范范love
雪    币: 317
活跃值: (93)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
9
用易语言的奥运版的脱壳机脱一下试试!
2008-10-5 02:46
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//