-
-
[旧帖]
[求助]关于脱PEiD的壳
0.00雪花
-
发表于:
2009-1-9 12:27
3121
-
[旧帖] [求助]关于脱PEiD的壳
0.00雪花
看雪大礼包DVD里的PEiD,检测之后是UPX的壳。OD载入后,在ESP处下硬件断,然后dump出来,修复IAT,然后能成功运行。但是再用PEiD运行检测脱壳后的文件,仍然说加了UPX的壳。用FI检测,给出信息如下:
PE L☺• k♣■H α ♥☺♂☺○ P♥ ► 0♠ Ä≤♠ @♠ É○ @ ► ☻ ♣ ♣
*PE Win GUI *section* ?? 59999
Dump2_.exe DEC HEX Interesting values
════════════════════════════════════════════════════════════════════════════════
Signature [00000100h] "PE" 5045h 256 00000100h
────────────────────────────────────────────────────────────────────────────────
Alignment file = phys 00512 0200h Entry point : 6F38Eh
7 sections = virt 04096 1000h 64000h RVA : 0006F38Eh
1→──────────────────────────────────────────────────────────────────────────────
Base of image v0.00 400000h 21 Oct 2008 Size : A2000h
code 64000h 16:38:03 Size : 35000h
data 99000h i.Size : 1000h
Type Subsystem v5.00 00002 0002h Windows GUI u.Size : 63000h
Required CPU/OS v5.00 00332 014Ch 80386 Flags : 00000103h
────────────────────────────────────────────────────────────────────────────────
Size of header is 04096 1000h /010Bh NTHdrSize : 00E0h
Loader flag shows 00000 0000h /8000h TimeStamp : 48FE056Bh
────────────────────────────────────────────────────────────────────────────────
Checksum of file 00000 0000h Linker version : 9.00
────────────────────────────────────────────────────────────────────────────────
Size init/commit heap 00100000h /00001000h E8 D3 8E 00 00 E9 78 FE FF FF
stack 00100000h /00001000h 55 8B EC 53 56 57 55 6A 00 6A
请问壳脱掉了吗?如果脱掉了为什么用PEiD检测仍说有壳?
附件里是DVD中的PEiD和我脱壳后的文件(Dump2_.exe)
菜鸟初学,请指教。谢谢!
PS. 要是发帖没发对版面,还望版主包涵。
PPS. 看置顶说不能求破共享软件,但是我有个免费的软件在练习破解的时候碰到了点问题,不知道能不能发上来求助一下?
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
