首页
社区
课程
招聘
[讨论]这版的MoleBox谁能弄一个可用的Dump然后好汉化
发表于: 2008-11-8 18:09 4772

[讨论]这版的MoleBox谁能弄一个可用的Dump然后好汉化

2008-11-8 18:09
4772
这版的MoleBox谁能弄一个可用的Dump然后好汉化,谢谢

软件下载:http://bbs.pediy.com/showthread.php?t=71284   (完全版本号为: v2.7.0.3054)

去NAG的方法:http://bbs.pediy.com/showthread.php?t=76247

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 1564
活跃值: (3572)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
2
我帖子里的附件不是有脱好壳的么
2008-11-8 18:49
0
雪    币: 189
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
版本不同。原帖中的不能用
2008-11-8 22:44
0
雪    币: 1564
活跃值: (3572)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
4
UPolyX v0.5 *,郁闷的壳
2008-11-8 23:00
0
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
5
你确定吗?

这个应该是用它自己加的壳吧。

现在我遇到的问题是它捆绑的两个dll文件dump不出来,所以无法修复IAT。

找到fly的一篇文章,然而手上的版本和fly文章中的不一样,那个会在临时目录下释放文件,而现在这个直接在内存里解压缩后,手动重定向,然后填写IAT,完全是自己实现的一个GetProcAddress,没有使用系统的api,而内存中的映射无法成功dump,只能dump出来一部分。

正在想办法。
2008-11-8 23:06
0
雪    币: 1564
活跃值: (3572)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
6
哇,我又见到了热心书呆彭,据我分析,这是个硬件壳,普通软件没有的
所以,应该是花指令
2008-11-8 23:11
0
雪    币: 189
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
顶一下 期待高手出招
2008-11-9 13:23
0
雪    币: 189
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
再顶一下 期待高手出招
2008-11-10 10:35
0
雪    币: 2506
活跃值: (1030)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
9
这段时间有事情,没空来看这个。上次在官方网站下了个 2.3600,大致看了一下主程序:

BP VirtualProtect,大概中断七八次后ALT+F9返回:

0045BDD1    E8 3AFBFFFF              CALL 0045B910
0045BDD6    8B0D EC614600            MOV ECX,DWORD PTR DS:[4661EC]            ; 信息窗口:DS:[004661EC]=01901F18,这里的地址01901F18中就是程序的OEP
0045BDDC    8B15 78634600            MOV EDX,DWORD PTR DS:[466378]            ; mbox2w.004000F8
0045BDE2    6A 00                    PUSH 0
0045BDE4    6A 00                    PUSH 0
0045BDE6    8B41 08                  MOV EAX,DWORD PTR DS:[ECX+8]             ; 信息窗口:DS:[01901F20]=00033F60,00033F60就是IAT的起始偏移,到这里后直接dump程序
0045BDE9    68 F4634600              PUSH 004663F4                            ; ASCII "EXECUTABLE",注意这个"EXECUTABLE"
0045BDEE    03C7                     ADD EAX,EDI
0045BDF0    52                       PUSH EDX
0045BDF1    57                       PUSH EDI
0045BDF2    50                       PUSH EAX
0045BDF3    C705 80634600 00000000   MOV DWORD PTR DS:[466380],0
0045BDFD    E8 2EFCFFFF              CALL 0045BA30
0045BE02    83C4 18                  ADD ESP,18
0045BE05    E8 96100000              CALL 0045CEA0
0045BE0A    84C0                     TEST AL,AL
0045BE0C    74 17                    JE SHORT 0045BE25
0045BE0E    E8 9D100000              CALL 0045CEB0
0045BE13    84C0                     TEST AL,AL
0045BE15    74 09                    JE SHORT 0045BE20
0045BE17    E8 94100000              CALL 0045CEB0
0045BE1C    84C0                     TEST AL,AL
0045BE1E  ^ 75 F7                    JNZ SHORT 0045BE17
0045BE20    E8 7B100000              CALL 0045CEA0
0045BE25    68 20644600              PUSH 00466420                            ; ASCII "imm32.dll"

其它的发挥你的想象力+搜索论坛资料,自己弄吧。
2008-11-10 10:52
0
雪    币: 189
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
只能再顶一下 期待高手出招
2008-11-10 11:51
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
11
2008-11-10 14:37
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
12
可否讲一下你是怎么分析的?
好让我知道你问题出在那里.
2008-11-11 00:08
0
游客
登录 | 注册 方可回帖
返回
//