能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
|
能力值:
(RANK:650 )
|
-
-
3 楼
晕,OEP是7FF79e04 ?
这个怎么dump啊?
关注
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
楼上的被误导了
|
能力值:
( LV8,RANK:130 )
|
-
-
5 楼
找OEP锁定4010CC,不知道这种办法算不算很无赖
|
能力值:
( LV9,RANK:3410 )
|
-
-
6 楼
呵呵,用记事本加壳就这个好处
可以和原版来比对脱壳
但是要找到方法
|
能力值:
( LV8,RANK:130 )
|
-
-
7 楼
用PEID看后的结果是“什么都没找着 [重叠] *”
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
我听说是抽了代码????
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
最初由 xiaoxinxin 发布 我听说是抽了代码????
NO
|
能力值:
( LV12,RANK:980 )
|
-
-
10 楼
7FF4288A FFB5 48FCFFFF PUSH DWORD PTR SS:[EBP-3B8]
7FF42890 68 6866F87F PUSH 7FF86668 ; ASCII "APISPY: Calling EXE Entry Point %x
"
7FF42895 E8 F6180000 CALL 7FF44190
7FF4289A 59 POP ECX
7FF4289B 59 POP ECX
7FF4289C FF95 48FCFFFF CALL NEAR DWORD PTR SS:[EBP-3B8] /////跳向入口!
7FF428A2 6A 00 PUSH 0
7FF428A4 E8 0A4D0200 CALL 7FF675B3
7FF428A9 83A5 44FCFFFF 0>AND DWORD PTR SS:[EBP-3BC],0
7FF428B0 8065 FC 00 AND BYTE PTR SS:[EBP-4],0
7FF428B4 83BD D4FDFFFF 0>CMP DWORD PTR SS:[EBP-22C],0
7FF428BB 74 12 JE SHORT 7FF428CF
附到入口的脚本。 附件:OS.rar 附件:OS.rar
|
能力值:
( LV9,RANK:3410 )
|
-
-
11 楼
嗯 不错
看看输入表的几个函数以及资源部分数据如何取巧修复
|
能力值:
( LV12,RANK:980 )
|
-
-
12 楼
我再试试:)
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
对VisualProctex下断,
观察00406000出的变化,第一次发生变化后
用LOADPE抓下来,
然后到入口出用OD的DUMP抓下来,不要重建IAT,
然后用UE替换,
用LOADPE重建一下
|
能力值:
( LV8,RANK:130 )
|
-
-
14 楼
呵呵~~在壳还没有改变IAT的时候dump~~
高~~实在是高~:D
|
能力值:
( LV12,RANK:980 )
|
-
-
15 楼
最初由 d1y2j3 发布 对VisualProctex下断, 观察00406000出的变化,第一次发生变化后 用LOADPE抓下来, 然后到入口出用OD的DUMP抓下来,不要重建IAT, 然后用UE替换, ........
看不懂
|
能力值:
( LV9,RANK:1210 )
|
-
-
16 楼
最初由 fly 发布 嗯 不错 看看输入表的几个函数以及资源部分数据如何取巧修复
有原版对照是好啊,那个new protection弄得我
莫名其妙:(
这个notepad,我在oep dump的。几个api,用ImportRec
直接反编译一下,凑合了:)
|
能力值:
( LV9,RANK:3410 )
|
-
-
17 楼
那个new protection是个大杂烩
呵呵
BTW:softworm 收到我在exetools给你的留言不
|
能力值:
( LV9,RANK:1210 )
|
-
-
18 楼
我很少注意PM:(
这下看到了,可以发到我的邮箱吗?
谢谢!:D
|
能力值:
( LV9,RANK:1210 )
|
-
-
19 楼
邮件收到,谢谢!
另外,本文的办法似乎不足以对付
new protection。我拿到了明文
的DLL2.dll,感觉还早得很。不
知道那个高手是如何在15分钟内
拿下的。
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
游戏?
|
|
|