能力值:
( LV2,RANK:10 )
|
-
-
2 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
又跟了一下,好像没那么简单,没找对地方,第一次DUMP出来的再用OD加载还是提示是加过壳的,而且在跟踪原的后面发现它又加载了一堆东西,而且最后调用了
vfp6r.DllWinMain
晕呀,高手在哪呀,帮帮忙呀
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
百思不得其解,请高人指点呀 ,难道让俺换坛子学习么,
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
dump出来的文件大小是131K,重建import table后的是136K,原先的大小是387K。
肯定有问题,一般脱壳后的文件比源文件都会大的。
|
能力值:
( LV4,RANK:45 )
|
-
-
6 楼
第一个是附加数据的原因。你可以用PEID的插件把附加数据补上
脱壳后的文件是Borland Delphi 4.0 - 5.0 [Overlay]
这样程序依然运行不起来----------提示错误
可以用静态的反编译来找关键词---------找的到的。
看了下是校验吧估计
因为PEID的插件反映出来有两个算法。具体的就不说了。
你附加上数据。仔细分析算法。
程序很娱乐
嘎嘎是 什么起名字的和看面相的
只是觉得 很好玩。。。。。。。。。。。。。。。
你找的OEP是对的。是DELPHI的入口特征
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
谢谢两位的回复。
再请教一些问题,
1.如果PEID查出来[Overlay] *就是代表未知壳和附加数据么?[Overlay] 是未知壳的意思?*代表附加数据?
2.网上找了一下关于附加数据的处理,好像很少,只找着了一个,回家再看下先。
回君君寒:呵呵,是随便找的一个软件,老婆从前用过给侄子起名字,正好拿来练手,结果挺难的 ,主要是学习如何去手工脱壳的过程,哪个软件都无所谓。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
有么高手继续指点呀
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
不一定吧?压缩壳脱了就比源文件大,但有的加密壳脱了会变小的
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
要是有《Overlay》附加数据 你还是找 WinHex 或者其他这样的工具 把原先的数据加在你拖壳后的文件里 ,要是还是不行 我也不知道了。还是找个高手详细说一下吧!
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
还有么高手讲一下呀,看样子,不光我一个人不会呀,
唉一个帖子自己回了这么多次,就么再有高手来讲一下么,版主何在呀
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
上网查了一下,overlay是附加数据的意思,*是未知壳的意思,但 君君寒 你所说的PEID的插件是哪个呀?
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
放了一段时间,又学习了一些知识后,又重新分析了一下,感觉原来找的入口点是不对的。这个程序后面还会从自身中解析出一部分数据生成一个.dll文件,但实际上却不是dll文件,而是foxpro中除了引导程序之外的数据,然后后面通过vfp6r.DllWinMain传进去生成的这个文件名来执行真正的程序,也就是说生成的这个文件才是真正程序体,而原来的exe只是一个引导壳。但生成的这个dll不能反编译,有理解foxpro的.DllWinMain入口函数中的第二个参数的含义的,很明显每次生成的文件内容(大小基本一样,对应的段明显有区别,被加密过)和传入的第二个参数都不一样,肯定参数和文件内容的执行是有关联的。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
希望有高手可以指点一上foxpro在DllWinMain的参数问题
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
http://blog.csdn.net/tavor/archive/2008/12/31/3672144.aspx,有相应的资料。
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
这个软件实际上是用VFP开发的,其安装目录下隐藏的DLL文件不是一个真正的dll,而是一个foxpro程序,只要找visual foxpro的反编译工具来反编译一下就可以得到该软件的源代码(我是用foxtools3.0反编译的)。这个程序采用的是注册文件的形式,其注册文件实际上是一个改了后缀名,动了手脚的DBF文件,无法直接编辑,不过有源代码就很简单了。
|
|
|