能力值:
( LV13,RANK:420 )
|
-
-
2 楼
我帖子里的附件不是有脱好壳的么
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
版本不同。原帖中的不能用
|
能力值:
( LV13,RANK:420 )
|
-
-
4 楼
UPolyX v0.5 *,郁闷的壳
|
能力值:
![]()
(RANK:260 )
|
-
-
5 楼
你确定吗?
这个应该是用它自己加的壳吧。
现在我遇到的问题是它捆绑的两个dll文件dump不出来,所以无法修复IAT。
找到fly的一篇文章,然而手上的版本和fly文章中的不一样,那个会在临时目录下释放文件,而现在这个直接在内存里解压缩后,手动重定向,然后填写IAT,完全是自己实现的一个GetProcAddress,没有使用系统的api,而内存中的映射无法成功dump,只能dump出来一部分。
正在想办法。
|
能力值:
( LV13,RANK:420 )
|
-
-
6 楼
哇,我又见到了热心书呆彭,据我分析,这是个硬件壳,普通软件没有的
所以,应该是花指令
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
顶一下 期待高手出招
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
再顶一下 期待高手出招
|
能力值:
![]()
(RANK:990 )
|
-
-
9 楼
这段时间有事情,没空来看这个。上次在官方网站下了个 2.3600,大致看了一下主程序:
BP VirtualProtect,大概中断七八次后ALT+F9返回:
0045BDD1 E8 3AFBFFFF CALL 0045B910
0045BDD6 8B0D EC614600 MOV ECX,DWORD PTR DS:[4661EC] ; 信息窗口:DS:[004661EC]=01901F18,这里的地址01901F18中就是程序的OEP
0045BDDC 8B15 78634600 MOV EDX,DWORD PTR DS:[466378] ; mbox2w.004000F8
0045BDE2 6A 00 PUSH 0
0045BDE4 6A 00 PUSH 0
0045BDE6 8B41 08 MOV EAX,DWORD PTR DS:[ECX+8] ; 信息窗口:DS:[01901F20]=00033F60,00033F60就是IAT的起始偏移,到这里后直接dump程序
0045BDE9 68 F4634600 PUSH 004663F4 ; ASCII "EXECUTABLE",注意这个"EXECUTABLE"
0045BDEE 03C7 ADD EAX,EDI
0045BDF0 52 PUSH EDX
0045BDF1 57 PUSH EDI
0045BDF2 50 PUSH EAX
0045BDF3 C705 80634600 00000000 MOV DWORD PTR DS:[466380],0
0045BDFD E8 2EFCFFFF CALL 0045BA30
0045BE02 83C4 18 ADD ESP,18
0045BE05 E8 96100000 CALL 0045CEA0
0045BE0A 84C0 TEST AL,AL
0045BE0C 74 17 JE SHORT 0045BE25
0045BE0E E8 9D100000 CALL 0045CEB0
0045BE13 84C0 TEST AL,AL
0045BE15 74 09 JE SHORT 0045BE20
0045BE17 E8 94100000 CALL 0045CEB0
0045BE1C 84C0 TEST AL,AL
0045BE1E ^ 75 F7 JNZ SHORT 0045BE17
0045BE20 E8 7B100000 CALL 0045CEA0
0045BE25 68 20644600 PUSH 00466420 ; ASCII "imm32.dll"
其它的发挥你的想象力+搜索论坛资料,自己弄吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
只能再顶一下 期待高手出招 
|
能力值:
( LV9,RANK:180 )
|
-
-
11 楼
|
能力值:
( LV9,RANK:180 )
|
-
-
12 楼
可否讲一下你是怎么分析的?
好让我知道你问题出在那里.
|
|
|
|
