[求助]谁帮我看看这个是不是oep-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
booybooy 雪币： 420 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 53 粉丝 0 关注私信	booybooy 2 楼怎么没有人回答我呀。。郁闷 2008-12-21 19:02 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼 1.可以确定，这不是oep。 2.如果程序能运行但OD无法加载，说明文件头进行了变形处理，可以从论坛上搜索下载大牛修改过的OD版本。如果程序本来就不能运行，那就是脱壳后没有成功修复，它的格式本来就不正确，OD当然也就无法加载了。 3.试试先选中修改过的代码，然后再点右键看看，应该会有一个“复制到可执行文件” 4.无法定位到文件，一般来说是你修改的地方是程序运行过程中动态分配的内存空间，也就是说内存区域不是EXE文件的map。 2008-12-21 19:12 0
huowu 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 117 粉丝 0 关注私信	huowu 4 楼看上去不是OEP的。 2008-12-21 19:29 0
booybooy 雪币： 420 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 53 粉丝 0 关注私信	booybooy 5 楼谢谢。。版主是好心人。 2008-12-21 19:30 0
booybooy 雪币： 420 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 53 粉丝 0 关注私信	booybooy 6 楼为什么肯定不是OEP，，我把上面的代码跟VC++的程序oep代码比较过，，很像的。你们判断oep怎么判断的呀？？ 2008-12-21 19:32 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 7 楼很像是不行的，如果是VC的，必须是完全一样的。比如VC6，很明显的标志就是 004038ED \|> \50 PUSH EAX ; /Arg4 004038EE \|. FF75 9C PUSH [LOCAL.25] ; \|Arg3 004038F1 \|. 56 PUSH ESI ; \|Arg2 004038F2 \|. 56 PUSH ESI ; \|/pModule 004038F3 \|. FF15 3C604000 CALL DWORD PTR DS:[<&kernel32.GetModul>; \|\GetModuleHandleA 004038F9 \|. 50 PUSH EAX ; \|Arg1 004038FA \|. E8 3BD8FFFF CALL i注册机.0040113A ; \i注册机.0040113A 而其它VC的版本，也都跟你这个不一样。其实在你给出的这个例子中，代码的地址范围根本不在模块代码段范围之内。这是临时解压的代码。甭说这不是OEP，就算是OEP，这也是被壳处理过的，是无法DUMP的。 2008-12-21 19:53 0
booybooy 雪币： 420 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 53 粉丝 0 关注私信	booybooy 8 楼是不是如果每个Call都进去,,一定能找到OEP的吧?? 一般手脱都是怎么做的? 2008-12-21 20:28 0
botdoor 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	botdoor 9 楼不是的这个要慢慢积累哦 2008-12-22 00:08 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 10 楼每个Call都进去这样的话你猴年马月才能到OEP。。。 2008-12-22 00:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

booybooy

雪币： 420

活跃值： (21)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

53

粉丝

0

关注

私信

booybooy: 2 楼

怎么没有人回答我呀。。

郁闷

2008-12-21 19:02

0

书呆彭

雪币： 2110

活跃值： (21)

能力值： (RANK：260 )

在线值：

发帖

30

回帖

1861

粉丝

2

关注

私信

书呆彭 6: 3 楼

1.可以确定，这不是oep。

2.如果程序能运行但OD无法加载，说明文件头进行了变形处理，可以从论坛上搜索下载大牛修改过的OD版本。如果程序本来就不能运行，那就是脱壳后没有成功修复，它的格式本来就不正确，OD当然也就无法加载了。

3.试试先选中修改过的代码，然后再点右键看看，应该会有一个“复制到可执行文件”

4.无法定位到文件，一般来说是你修改的地方是程序运行过程中动态分配的内存空间，也就是说内存区域不是EXE文件的map。

2008-12-21 19:12

0

huowu

雪币： 204

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

14

回帖

117

粉丝

0

关注

私信

huowu: 4 楼

看上去不是OEP的。

2008-12-21 19:29

0

booybooy

雪币： 420

活跃值： (21)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

53

粉丝

0

关注

私信

booybooy: 5 楼

谢谢。。版主是好心人。

2008-12-21 19:30

0

booybooy

雪币： 420

活跃值： (21)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

53

粉丝

0

关注

私信

booybooy: 6 楼

为什么肯定不是OEP，，我把上面的代码跟VC++的程序oep代码比较过，，很像的。

你们判断oep怎么判断的呀？？

2008-12-21 19:32

0

书呆彭

雪币： 2110

活跃值： (21)

能力值： (RANK：260 )

在线值：

发帖

30

回帖

1861

粉丝

2

关注

私信

书呆彭 6: 7 楼

很像是不行的，如果是VC的，必须是完全一样的。

比如VC6，很明显的标志就是

004038ED  |> \50            PUSH    EAX                               ; /Arg4
004038EE  |.  FF75 9C       PUSH    [LOCAL.25]                        ; |Arg3
004038F1  |.  56            PUSH    ESI                               ; |Arg2
004038F2  |.  56            PUSH    ESI                               ; |/pModule
004038F3  |.  FF15 3C604000 CALL    DWORD PTR DS:[<&kernel32.GetModul>; |\GetModuleHandleA
004038F9  |.  50            PUSH    EAX                               ; |Arg1
004038FA  |.  E8 3BD8FFFF   CALL    i注册机.0040113A                     ; \i注册机.0040113A

而其它VC的版本，也都跟你这个不一样。

其实在你给出的这个例子中，代码的地址范围根本不在模块代码段范围之内。这是临时解压的代码。甭说这不是OEP，就算是OEP，这也是被壳处理过的，是无法DUMP的。

2008-12-21 19:53

0