能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
压缩包含有文件:
Notepad.exe
Thinstall V2.501脱壳――Win98的Notepad.txt
UnPacked.exe
:D
附件:Try.rar
|
能力值:
(RANK:10 )
|
-
-
3 楼
学习!!!
|
能力值:
(RANK:1060 )
|
-
-
4 楼
应该是lordpe问题,用文件的header就...
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
fly版主
Steel Box那个也写一个吧.
|
能力值:
( LV12,RANK:980 )
|
-
-
6 楼
但是依旧只显示一个.text区段, 看看NumberOfSections:01,把PE头+06H处修改为05,所有的区段就露面了。
只保留LordPE的“Validate PE”选项,重建PE。
这次脱的算是稍微有点完美了。
难怪我只看到一个段:)
|
能力值:
( LV12,RANK:980 )
|
-
-
7 楼
请问fly大侠:为什么要把BoundImport清0?你是怎么想到要清零了?
|
能力值:
( LV9,RANK:690 )
|
-
-
8 楼
支持:D
|
能力值:
( LV9,RANK:3410 )
|
-
-
9 楼
否则运行时会弹出某某dll找不到
BTW:csjwaman 兄直接喊fly就行了,没必要客气呀 :o
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
lihai!!! 学习!
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
精彩~~~
|
能力值:
( LV9,RANK:250 )
|
-
-
12 楼
fly现在哪里工作呀!
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
据内部知情人士透露,FLY正在为国家干革命
|
能力值:
( LV8,RANK:130 )
|
-
-
14 楼
最初由 stephenteh 发布 lihai!!! 学习!
难得~居然用Chinese!:D :D
|
能力值:
( LV9,RANK:170 )
|
-
-
15 楼
thanks !!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
请问一下:如何把BoundImport清0。
|
能力值:
( LV9,RANK:3410 )
|
-
-
17 楼
最初由 lihai3330 发布 请问一下:如何把BoundImport清0。 LordPE打开
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
前面的一样,
看看NumberOfSections:01,把PE头+06H处修改为05,所有的区段就露面了。
只保留LordPE的“Validate PE”选项,重建PE。 我是用fly大侠的第二种方法,,按照这样作了,为什么还是不能运行呢???
附件:111.rar
|
能力值:
( LV9,RANK:3410 )
|
-
-
19 楼
可能你dump时机不妥
import table处丢失了数据
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
我是到oep 时dump的呀,正确的是这样吗?
|
能力值:
( LV9,RANK:3410 )
|
-
-
21 楼
在文中提到的地方dump
|
能力值:
( LV4,RANK:50 )
|
-
-
22 楼
一天没上,又看到fly大哥的好文了~!
|
能力值:
( LV9,RANK:210 )
|
-
-
23 楼
我是这样脱的,下bp VirtualAlloc断点,中断8次后,(可以看见它在申请壳空间和解压代码!!!)
0012F8C8 7FF617A2 /CALL 到 VirtualAlloc 来自 7FF6179C
0012F8CC 0040C000 |Address = Notepad.0040C000
0012F8D0 00001000 |Size = 1000 (4096.)
0012F8D4 00001000 |AllocationType = MEM_COMMIT
0012F8D8 00000040 \Protect = PAGE_EXECUTE_READWRITE
0012F8DC 004053C0 <&KERNEL32.GetModuleFileNameA>
0012F8E0 004053C0 <&KERNEL32.GetModuleFileNameA>
alt+f9,回到壳空间,如下:
7FF6179C FF15 4860F87F call dword ptr ds:[7FF86048] ; kernel32.VirtualAlloc
7FF617A2 8B45 A0 mov eax,dword ptr ss:[ebp-60]
7FF617A5 6BC0 28 imul eax,eax,28
7FF617A8 8B4D D0 mov ecx,dword ptr ss:[ebp-30]
7FF617AB 8B4401 24 mov eax,dword ptr ds:[ecx+eax+24]
7FF617AF 25 80000000 and eax,80
7FF617B4 85C0 test eax,eax
7FF617B6 75 4E jnz short 7FF61806
7FF617B8 6A 00 push 0
7FF617BA 8D45 F0 lea eax,dword ptr ss:[ebp-10]
7FF617BD 50 push eax
7FF617BE FFB5 28FEFFFF push dword ptr ss:[ebp-1D8]
7FF617C4 FFB5 1CFEFFFF push dword ptr ss:[ebp-1E4]
7FF617CA FF75 DC push dword ptr ss:[ebp-24]
7FF617CD E8 FA1AFFFF call 7FF532CC //
经过这个call后,就可以用插件OllyDump,Dump出.txet段,在按照fly大侠的方法修改NumberOfSections:01,把PE头+06H处修改为05,把BoundImport清0,再改一下修正后的.text段的虚拟和物理尺寸大小,就ok了。
不知有什么错误之处清大家指正!!!
|
能力值:
( LV9,RANK:3410 )
|
-
-
24 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
最初由 wangli_com 发布 我是这样脱的,下bp VirtualAlloc断点,中断8次后,(可以看见它在申请壳空间和解压代码!!!)
0012F8C8 7FF617A2 /CALL 到 VirtualAlloc 来自 7FF6179C 0012F8CC 0040C000 |Address = Notepad.0040C000 ........
实际就是“以壳解壳”:D
|
|
|