能力值:
( LV2,RANK:10 )
|
-
-
2 楼
脱壳后程序自动退出的话,试试自校验
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
C、OD载入脱壳后文件00526200 >- E9 96A0B301 jmp 0206029B
但F7会提示“不知如何单步,因为内存地址0206029B不可读。尝试更改EIP或忽略程序异常”
这个也是自检验造成的吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
我现在是不太清楚是否已经成功脱壳,因为OD载入脱壳后的文件不能执行下去。请大侠明示。
|
能力值:
( LV9,RANK:140 )
|
-
-
5 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
哇可以了,非常感谢,我也觉得我根本就没有脱成功!
请问可否教在下是如何脱的?我上网找到一篇教程,正准备试下,不知是否就是这样的?
2006年黑鹰破解脱壳提高班(1-66)\18-ASProtect 2.X SKE脱壳Patch注册名
1、利用脚本处理IAT,到达Stolen OEP'Start
Import table..->确定
脚本->resume继续
Stolen code start,press OK..->确定
到达Stolen code即Stolen OEP'Start
2、脱壳抓取Loadpe修正映像,完整脱壳
从ollydump获得OEP入口点地址
用Import 修正OEP地址,自动搜索IAT,
小技巧,OEP从1000开始尝试
3、分析Stolen区段(Stolen Code、VM自解码、Route Check程序完整性校验)
Stolen Code
01600521
016C0000
VM
ebx=013E84FC
Route Check
eax=015D0000
4、补区段
一般的补区段的顺序
VM(2个)
Route Check(1个)
Stolen Code(一般是>10个)
5、 修复Route Check
6、 部分程序还有自校验(如果不能运行的话)
7、 若软件使用的是ASP注册机制,则Patch注册名
|
能力值:
( LV9,RANK:140 )
|
-
-
7 楼
没有自效验!你直接用V大1.4就解决啦!
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
我最高只有1.14的,没有1.4的,能不能发一份给我?谢谢!
|
能力值:
( LV9,RANK:140 )
|
-
-
9 楼
不好意思,是1.14少打了个一害你找了半天,真不好意思!
|
能力值:
( LV5,RANK:60 )
|
-
-
10 楼
路过~~~~
顺边下个脚本,西西~~
谢了楼上~!
|
能力值:
( LV5,RANK:69 )
|
-
-
11 楼
膜拜V大 膜拜脚本 支持手动
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
没关系。不过我也是用的这个脚本,怎么不行呢?
我查出来的是:
查看LOG得知IAT和OEP信息:
00E0CE1C 硬件断点 1 位于 00E0CE1C
iatstartaddr: 005359F8
iatstart_rva: 001359F8
iatsize: 00000804
0206029B 断点位于 0206029B
OEP_rva: 00126200
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
没有需要修复的,盗了代码的应该要被区段吧,可是如何判断哪里才是要补的区段呢?是如何总结出来的呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
我也是碰到这样的。为什么别人可以,我不行呢。脱壳后不能运行?难道这也有人品》
|
|
|