Ultra Protect[终极保镖] V1.06脱壳+修复――UProtect.exe主程序-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Ultra Protect[终极保镖] V1.06脱壳+修复――UProtect.exe主程序

发表于: 2004-5-13 01:16 22092

Ultra Protect[终极保镖] V1.06脱壳+修复――UProtect.exe主程序

fly

2004-5-13 01:16

22092

软件大小：  440 KB
软件语言：  简体中文
软件类别：  国产软件 / 共享版 / 加密工具
应用平台：  Win9x/NT/2000/XP
推荐等级：  ***
开发商：  http://www.ultraprotect.com/
软件介绍：  软件保护系统，保护软件使用RSA1024位的注册码系统防止软件被写出注册机，可以设置内嵌的加密器（针对delphi &vc&BCB)使得脱壳之后无法运行，双向的API系统使得外壳顺利和被保护程序通讯。使用变形技术让每次加密生成的代码都不同。变形技术结合反跟踪防止程序跟踪和反汇编。

【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！

【调试环境】：WinXP、flyODBG、PEiD、LordPE、ImportREC

―――――――――――――――――――――――――――――――――
【脱壳过程】：


Ultra Protect[终极保镖]是risco先生的大作ACProtect壳以前的名字。现在PEiD侦测ACProtector加壳的程序显示“UltraProtect 1.x -> RISCO Software Inc.”而不是ACProtect就是这个原因啦，看来snaker先生应该修正一下这个壳名了。

―――――――――――――――――――――――――――――――――
一、脱壳


设置flyODBG忽略所有异常选项。老规矩：用IsDebug 1.4插件去掉Ollydbg的调试器标志。

     
004B6000     60                   pushad//进入OD后停在这
004B6001     EB 01                jmp short UProtect.004B6004

77E9A595     55                   push ebp
77E9A596     8BEC                 mov ebp,esp//断在这里
77E9A598     81EC 2C020000        sub esp,22C
77E9A59E     56                   push esi
77E9A59F     8B75 0C              mov esi,dword ptr ss:[ebp+C]
77E9A5A2     85F6                 test esi,esi
77E9A5A4     0F84 94000000        je kernel32.77E9A63E
77E9A5AA     813E 28010000        cmp dword ptr ds:[esi],128
77E9A5B0     0F82 88000000        jb kernel32.77E9A63E
77E9A5B6     53                   push ebx
77E9A5B7     8D85 D4FDFFFF        lea eax,dword ptr ss:[ebp-22C]
77E9A5BD     50                   push eax
77E9A5BE     FF75 08              push dword ptr ss:[ebp+8]
77E9A5C1     C785 D4FDFFFF 2C0200 mov dword ptr ss:[ebp-22C],22C
77E9A5CB     E8 13FFFFFF          call kernel32.Process32FirstW
77E9A64C     C2 0800              retn 8//返回 004B7FD0

004B7FD0     0BC0                 or eax,eax
004B7FD2     0F84 86000000        je UProtect.004B805E
004B7FD8     8DB5 B91D4000        lea esi,dword ptr ss:[ebp+401DB9]
004B7FDE     8BFE                 mov edi,esi
004B7FE0     8A07                 mov al,byte ptr ds:[edi]
004B7FE2     0AC0                 or al,al
004B7FE4     74 12                je short UProtect.004B7FF8

004BBAA9     8BC5                 mov eax,ebp//中断在这里
004BBAAB     E8 25BBFFFF          call UProtect.004B75D5
004BBAB0     FFB5 F96D4000        push dword ptr ss:[ebp+406DF9]; UProtect.00487370//OEP值
004BBAB6     8BE8                 mov ebp,eax
004BBAB8     C3                   retn//飞向光明之巅

00487370     55                   push ebp//在这儿用LordPE纠正ImageSize后完全DUMP这个进程
00487371     8BEC                 mov ebp,esp
00487373     83C4 F4              add esp,-0C
00487376     B8 18714800          mov eax,UProtect.00487118
0048737B     E8 80F1F7FF          call UProtect.00406500
00487380     A1 F0744900          mov eax,dword ptr ds:[4974F0]
00487385     8B00                 mov eax,dword ptr ds:[eax]
00487387     E8 18FDFBFF          call UProtect.004470A4

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・10

支持

最新回复 (42) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 Ultra Protect[终极保镖] V1.06 原主程序需要支持文件才能运行，放到终极保镖 V1.06 Cracked 文件夹内即可终极保镖 V1.06 Cracked 下载页面： http://bbs.pediy.com/showthread.php?s=&threadid=718 Ultra Protect V1.06 原主程序 2004-5-13 01:19 0
LOCKLOSE 雪币： 14937 活跃值： (4718) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 3 楼坐个沙发,顶啊.学到不少, 2004-5-13 02:29 0
loveboom 雪币： 556 活跃值： (2303) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 4 楼原版在winxp sp1下无法运行. 2004-5-13 09:22 0
LzhqQQ 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	LzhqQQ 5 楼真的好难 2004-5-13 09:44 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 6 楼学习 2004-5-13 10:20 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼最初由 loveboom 发布原版在winxp sp1下无法运行. Ultra Protect[终极保镖] V1.06 原主程序需要支持文件才能运行，放到终极保镖 V1.06 Cracked 文件夹内即可 2004-5-13 11:57 0
海楼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 1 关注私信	海楼 8 楼谢谢 fly 版主！学习……，收藏！ 2004-5-13 13:30 0
aqtata 雪币： 319 活跃值： (1076) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 9 楼 IsDebug 1.4 插件哪里有啊 2004-5-14 12:38 0
acprotect 雪币： 214 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 1 关注私信	acprotect 10 楼最初由 fly 发布很累，沉醉于脱壳之中才能感到一丝乐趣。感谢作者risco先生，不断升级改进的ACProtect壳已经跻身世界级强壳之林了！多谢fly老大的美言和建议,我们会更加努力的. 5月12号又小升了一次级,修正了一个小bug,同时提高了兼容性,由于非大的技术性升级,所以新版本号仍是1.3C,欢迎各位老大下载使用,并提出宝贵意见,再次感谢! http://anticrack.51.net webmaster@ultraprotect.com 2004-5-15 02:05 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 11 楼找oep无需下断：BP Process32First+1 中断后取消断点，返回程序直接esp定律就可以了。 Fly的脱壳参考程序重新优化区段并且加壳了 Ultra Protect不检测原入口，找一段空地写入以下代码：代码:-------------------------------------------------------------------------------- 004B6000 60 pushad 004B6001 68 BD6E4B00 push OK.004B6EBD ; ASCII "KERNEL32.DLL" 004B6006 FF15 98B14900 call dword ptr ds:[<&kernel32.GetModuleHandleA>] 004B600C A3 41644B00 mov dword ptr ds:[4B6441],eax 004B6012 68 EA6F4B00 push OK.004B6FEA ; ASCII "USER32.DLL" 004B6017 FF15 98B14900 call dword ptr ds:[<&kernel32.GetModuleHandleA>] 004B601D A3 45644B00 mov dword ptr ds:[4B6445],eax 004B6023 BE 39704B00 mov esi,004B7039 004B6028 AD lods dword ptr ds:[esi] 004B6029 3D FFFFFFFF cmp eax,-1 004B602E 74 F8 je short 004B6028 004B6031 85C0 test eax,eax 004B6033 74 27 je short 004B605C 004B6035 50 push eax 004B6036 25 00000080 and eax,80000000 004B603B 58 pop eax 004B603C 8B15 41644B00 mov edx,dword ptr ds:[4B6441] 004B6042 74 06 je short 004B604A 004B6044 8B15 45644B00 mov edx,dword ptr ds:[4B6445] 004B604A 25 FFFFFF7F and eax,7FFFFFFF 004B604F 50 push eax 004B6050 52 push edx 004B6051 FF15 94B14900 call dword ptr ds:[<&kernel32.GetProcAddress>]//重新取得现系统的地址 004B6057 8946 FC mov dword ptr ds:[esi-4],eax//保存 004B605A EB CC jmp short 004B6028 004B605C B8 23714B00 mov eax,004B7123//下面是还原[49B574]和[49B200]处的值 004B6061 A3 74B54900 mov dword ptr ds:[49B574],eax 004B6066 A3 00B24900 mov dword ptr ds:[49B200],eax 004B606B 61 popad 004B606C E9 FF12FDFF jmp 00487370//处理完毕跳回原OEP 我也在这里加入一段代码，循环执行半天，还是有错误。 2004-5-15 11:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼如果脱我的破解版，应该是不需要加代码的脱原版要修改那段函数的地址，文章中说了 2004-5-15 14:59 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 13 楼好文章，学习:D 2004-5-15 15:10 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 14 楼是的，在0012ffa4处下硬件WORD访问断点可到达OEP。但是后面加代码不知是在原主程序中添加还是在脱壳后的文件中添加，是添加后再脱壳（脱壳时修改OEP为=004B6000)还是脱壳后再添加？ 2004-5-24 23:01 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 15 楼我是在脱壳后再修复的也可以在脱壳前修复，然后脱壳 2004-5-24 23:18 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 16 楼 "使用ESP定律，在12FFAC处的4个字节上下“硬件访问->Word”断点，F9运行"，在12FFB0处下断也行！ 2004-5-24 23:27 0
LOCKLOSE 雪币： 14937 活跃值： (4718) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 17 楼楼上的方法可行哦～方法越简化越好。 2004-5-24 23:42 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 18 楼我在0012ffac处下断点，F9运行就退出了。 2005-4-8 11:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼一年前的帖子了注意你的调试环境 2005-4-8 11:58 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 20 楼高人，又一次收藏慢慢学习・！ 2005-4-8 12:08 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 21 楼 FLY斑竹：我的调试环境是：WIN2000+OllyDbg.V1.10聆风听雨汉化第二版+XP界面flyODBG修，我在12FFAC处的4个字节上下“硬件访问->Word”断点，F9运行就退出了。斑竹请指点一下，谢谢！ 2005-4-8 13:02 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼 Ultra Protect这个版本应该会检测父进程名你可以BP Process32First时修改Anti的地方，具体看精华6中ACProtect相关教程也可以试试把flyODBG.eXe改名为eXpLorEr.exe看看 2005-4-8 13:11 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 23 楼谢谢我试试看。 2005-4-8 13:37 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 24 楼我把flyODBG.eXe改名为eXpLorEr.exe,已经可以在处设中断了。版主还是要请教一个问题：怎样用lordpe纠正imagesize的值怎么知道脱壳后文件的大小。谢谢！ 2005-4-8 15:17 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 25 楼看这里 http://bbs.pediy.com/showthread.php?s=&threadid=12604 2005-4-8 15:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 Ultra Protect[终极保镖] V1.06 原主程序需要支持文件才能运行，放到终极保镖 V1.06 Cracked 文件夹内即可终极保镖 V1.06 Cracked 下载页面： http://bbs.pediy.com/showthread.php?s=&threadid=718 Ultra Protect V1.06 原主程序 2004-5-13 01:19 0
LOCKLOSE 雪币： 14937 活跃值： (4718) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 3 楼坐个沙发,顶啊.学到不少, 2004-5-13 02:29 0
loveboom 雪币： 556 活跃值： (2303) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 4 楼原版在winxp sp1下无法运行. 2004-5-13 09:22 0
LzhqQQ 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	LzhqQQ 5 楼真的好难 2004-5-13 09:44 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 6 楼学习 2004-5-13 10:20 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼最初由 loveboom 发布原版在winxp sp1下无法运行. Ultra Protect[终极保镖] V1.06 原主程序需要支持文件才能运行，放到终极保镖 V1.06 Cracked 文件夹内即可 2004-5-13 11:57 0
海楼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 1 关注私信	海楼 8 楼谢谢 fly 版主！学习……，收藏！ 2004-5-13 13:30 0
aqtata 雪币： 319 活跃值： (1076) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 9 楼 IsDebug 1.4 插件哪里有啊 2004-5-14 12:38 0
acprotect 雪币： 214 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 1 关注私信	acprotect 10 楼最初由 fly 发布很累，沉醉于脱壳之中才能感到一丝乐趣。感谢作者risco先生，不断升级改进的ACProtect壳已经跻身世界级强壳之林了！多谢fly老大的美言和建议,我们会更加努力的. 5月12号又小升了一次级,修正了一个小bug,同时提高了兼容性,由于非大的技术性升级,所以新版本号仍是1.3C,欢迎各位老大下载使用,并提出宝贵意见,再次感谢! http://anticrack.51.net webmaster@ultraprotect.com 2004-5-15 02:05 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 11 楼找oep无需下断：BP Process32First+1 中断后取消断点，返回程序直接esp定律就可以了。 Fly的脱壳参考程序重新优化区段并且加壳了 Ultra Protect不检测原入口，找一段空地写入以下代码：代码:-------------------------------------------------------------------------------- 004B6000 60 pushad 004B6001 68 BD6E4B00 push OK.004B6EBD ; ASCII "KERNEL32.DLL" 004B6006 FF15 98B14900 call dword ptr ds:[<&kernel32.GetModuleHandleA>] 004B600C A3 41644B00 mov dword ptr ds:[4B6441],eax 004B6012 68 EA6F4B00 push OK.004B6FEA ; ASCII "USER32.DLL" 004B6017 FF15 98B14900 call dword ptr ds:[<&kernel32.GetModuleHandleA>] 004B601D A3 45644B00 mov dword ptr ds:[4B6445],eax 004B6023 BE 39704B00 mov esi,004B7039 004B6028 AD lods dword ptr ds:[esi] 004B6029 3D FFFFFFFF cmp eax,-1 004B602E 74 F8 je short 004B6028 004B6031 85C0 test eax,eax 004B6033 74 27 je short 004B605C 004B6035 50 push eax 004B6036 25 00000080 and eax,80000000 004B603B 58 pop eax 004B603C 8B15 41644B00 mov edx,dword ptr ds:[4B6441] 004B6042 74 06 je short 004B604A 004B6044 8B15 45644B00 mov edx,dword ptr ds:[4B6445] 004B604A 25 FFFFFF7F and eax,7FFFFFFF 004B604F 50 push eax 004B6050 52 push edx 004B6051 FF15 94B14900 call dword ptr ds:[<&kernel32.GetProcAddress>]//重新取得现系统的地址 004B6057 8946 FC mov dword ptr ds:[esi-4],eax//保存 004B605A EB CC jmp short 004B6028 004B605C B8 23714B00 mov eax,004B7123//下面是还原[49B574]和[49B200]处的值 004B6061 A3 74B54900 mov dword ptr ds:[49B574],eax 004B6066 A3 00B24900 mov dword ptr ds:[49B200],eax 004B606B 61 popad 004B606C E9 FF12FDFF jmp 00487370//处理完毕跳回原OEP 我也在这里加入一段代码，循环执行半天，还是有错误。 2004-5-15 11:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼如果脱我的破解版，应该是不需要加代码的脱原版要修改那段函数的地址，文章中说了 2004-5-15 14:59 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 13 楼好文章，学习:D 2004-5-15 15:10 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 14 楼是的，在0012ffa4处下硬件WORD访问断点可到达OEP。但是后面加代码不知是在原主程序中添加还是在脱壳后的文件中添加，是添加后再脱壳（脱壳时修改OEP为=004B6000)还是脱壳后再添加？ 2004-5-24 23:01 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 15 楼我是在脱壳后再修复的也可以在脱壳前修复，然后脱壳 2004-5-24 23:18 0
jrs13579 雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 72 粉丝 1 关注私信	jrs13579 16 楼 "使用ESP定律，在12FFAC处的4个字节上下“硬件访问->Word”断点，F9运行"，在12FFB0处下断也行！ 2004-5-24 23:27 0
LOCKLOSE 雪币： 14937 活跃值： (4718) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 17 楼楼上的方法可行哦～方法越简化越好。 2004-5-24 23:42 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 18 楼我在0012ffac处下断点，F9运行就退出了。 2005-4-8 11:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼一年前的帖子了注意你的调试环境 2005-4-8 11:58 0
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 20 楼高人，又一次收藏慢慢学习・！ 2005-4-8 12:08 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 21 楼 FLY斑竹：我的调试环境是：WIN2000+OllyDbg.V1.10聆风听雨汉化第二版+XP界面flyODBG修，我在12FFAC处的4个字节上下“硬件访问->Word”断点，F9运行就退出了。斑竹请指点一下，谢谢！ 2005-4-8 13:02 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼 Ultra Protect这个版本应该会检测父进程名你可以BP Process32First时修改Anti的地方，具体看精华6中ACProtect相关教程也可以试试把flyODBG.eXe改名为eXpLorEr.exe看看 2005-4-8 13:11 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 23 楼谢谢我试试看。 2005-4-8 13:37 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 24 楼我把flyODBG.eXe改名为eXpLorEr.exe,已经可以在处设中断了。版主还是要请教一个问题：怎样用lordpe纠正imagesize的值怎么知道脱壳后文件的大小。谢谢！ 2005-4-8 15:17 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 25 楼看这里 http://bbs.pediy.com/showthread.php?s=&threadid=12604 2005-4-8 15:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复