能力值:
( LV9,RANK:680 )
|
-
-
2 楼
思考,探索
就是这样,谢谢分享
|
能力值:
( LV13,RANK:420 )
|
-
-
3 楼
顶一把
|
能力值:
( LV9,RANK:420 )
|
-
-
4 楼
你通用的意思是都可以bp LoadLibraryExW以后那么找到OEP,然后再处理附加数据,然后被搞定?
|
能力值:
( LV9,RANK:290 )
|
-
-
5 楼
研究行学习,支持一下
|
能力值:
(RANK:330 )
|
-
-
6 楼
菊花教主的话经常被人引用,膜拜一下
|
能力值:
( LV9,RANK:850 )
|
-
-
7 楼
路过膜拜菊花导师
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
maybe。。。
|
能力值:
(RANK:350 )
|
-
-
9 楼
独立编译的吧
有的是带库运行的,比如样品三,因此我才猜测附加数据就是易库
|
能力值:
( LV6,RANK:90 )
|
-
-
10 楼
关注之,我也研究一下
|
能力值:
( LV11,RANK:180 )
|
-
-
11 楼
顶lz,在自己的电脑试了一下,发现用bp LoadLibraryExA和lz总结的一样用bp LoadLibraryExW行不通
|
能力值:
(RANK:350 )
|
-
-
12 楼
可以上传你的程序吗?
|
能力值:
( LV9,RANK:170 )
|
-
-
13 楼
TAG:Ecode 易语言 通用脱壳 LOADLIABRARYEXA/W
再次对forgot表示崇拜,牛人牛语,
以后我不会放过你打的任何一个字符
一定要深入的挖掘再挖掘
|
能力值:
( LV11,RANK:180 )
|
-
-
14 楼
我测试的程序就是你上传的 样品一.rar 啊
|
能力值:
( LV11,RANK:180 )
|
-
-
15 楼
这是返回后的截图(看红色框起来的部分)
|
能力值:
( LV11,RANK:180 )
|
-
-
16 楼
刚才的回复图不见了,
|
能力值:
( LV11,RANK:180 )
|
-
-
17 楼
如果用bp LoadLibraryExW则返回到下面地方
|
能力值:
(RANK:350 )
|
-
-
18 楼
不会吧,你看到这句话了吗?
|
能力值:
( LV11,RANK:180 )
|
-
-
19 楼
刚才测试了一下用bp LoadLibraryExW可以的,运行断下,返回到程序领空,再单步,进入系统领空,再返回。。。就到
00401460 3BC3 cmp eax,ebx
了,不过步骤还是蛮多的,我测试了一下,用bp LoadLibraryExA的话,运行断下,返回程序领空就到
00401460 3BC3 cmp eax,ebx
了,比较快捷,楼主可以试一下用bp LoadLibraryExA的效果。我之前说的无法用bp LoadLibraryExW 无法到达00401460 错了,是因为我第一次返回程序领空看见地址是7***多就没有继续单步下去了。楼主说的是正确的!!!
|
能力值:
(RANK:350 )
|
-
-
20 楼
好的,我也试试去
|
能力值:
( LV11,RANK:180 )
|
-
-
21 楼
00401459 50 push eax
0040145A FF15 04604000 call dword ptr ds:[406004] ; kernel32.LoadLibraryA
00401460 3BC3 cmp eax,ebx
在上面有个LoadLibraryA
|
能力值:
(RANK:350 )
|
-
-
22 楼
果然A比W快
|
能力值:
( LV4,RANK:50 )
|
-
-
23 楼
遗忘掉我吧 我是个路过的马甲
|
能力值:
( LV5,RANK:60 )
|
-
-
24 楼
做一个记号~~~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
-.-!!!
|
|
|