[求助]請問各位高手怎麼幫幫忙!脫殼後出現Runtime Error R6002 Floating point not loaded-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 2 楼看出现的情况应该是VC8的程序吧？重建原始区段，把第二个段的特征值设为40000040。具体可以参考这个帖子： http://bbs.pediy.com/showthread.php?t=58034 2009-2-13 21:28 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 3 楼可以說詳細點嗎? 有看沒有懂或是請問哪裡有腳本可以下載使用感恩不盡 2009-2-14 00:19 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 4 楼你好~我已經照您寫的重建原始区段，並把第二个段的特征值设为40000040 結果還是ㄧ樣~請問要怎麼用呢 2009-2-14 10:56 0
icersg 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 471 粉丝 0 关注私信	icersg 5 楼这个不就是腾迅活动的那个第三题么。具体解释看这里 http://bbs.pediy.com/forumdisplay.php?f=120&tcatid=111 不过用OD dump出来的直接就是2个section，一个是.text, 一个是.rsrc，如果用ImportREC修复有可能多一个section。程序才初始化的时候会检查RAV=00289240所在的section的属性是否为可写。如果可写，就跳过这一段的初始化，所以会出问题。而这个地方位于第一个节.text，如果改成不可写，程序可能连载入都不行。也许可以修改section header，把.text细分一下，多加一个.rdata并改一下属性，也许可以。但是我不太会，所以我直接改的程序流程，让他强行初始化。打开程序以后，Ctrl+F查找push 00400000，用Ctrl+L查找下一个，一共有3个，最后一个是要改的地方，先下个断点，那里就是察看section是否可写的，等返回之后，把下面的je这句nop掉，就可以了。 005F1814 . 68 00004000 push 00400000 ; 搜索push 00400000，这里是第三个 005F1819 . E8 52FFFFFF call 005F1770 005F181E . 83C4 08 add esp, 8 005F1821 . 85C0 test eax, eax 005F1823 . 74 3B je short 005F1860 005F1825 . 8B40 24 mov eax, dword ptr [eax+24] 005F1828 . C1E8 1F shr eax, 1F ; 用这句来确认找到的push 00400000是否正确 005F182B . F7D0 not eax 005F182D . 83E0 01 and eax, 1 005F1830 . C745 FC FEFFF>mov dword ptr [ebp-4], -2 005F1837 . 8B4D F0 mov ecx, dword ptr [ebp-10] 005F183A . 64:890D 00000>mov dword ptr fs:[0], ecx 005F1841 . 59 pop ecx 005F1842 . 5F pop edi 005F1843 . 5E pop esi 005F1844 . 5B pop ebx 005F1845 . 8BE5 mov esp, ebp 005F1847 . 5D pop ebp 005F1848 . C3 retn ; 返回 005DE9FB /$ 833D 40926800>cmp dword ptr [689240], 0 005DEA02 \|. 74 1A je short 005DEA1E 005DEA04 \|. 68 40926800 push 00689240 005DEA09 \|. E8 B22D0100 call 005F17C0 005DEA0E \|. 85C0 test eax, eax ; 返回到这里 005DEA10 \|. 59 pop ecx 005DEA11 \|. 74 0B je short 005DEA1E ; nop掉这句就行啦 005DEA13 \|. FF7424 04 push dword ptr [esp+4] 005DEA17 \|. FF15 40926800 call dword ptr [689240] ; dump_.005E54EB 005DEA1D \|. 59 pop ecx 005DEA1E \|> E8 FD2C0100 call 005F1720 2009-2-14 11:54 0
完美hacker 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	完美hacker 6 楼重建原始区段 2009-2-14 21:16 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 7 楼看这个帖子吧： http://bbs.pediy.com/showthread.php?t=82168 用脚本跑一下，再自己修复相关内容。 2009-2-16 15:04 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 8 楼將區段特徵値設為唯讀後~依舊還是出現Runtime Error R6002 Floating point not loaded 救命ㄚ 2009-2-16 21:45 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 9 楼原始檔網址: http://www.sinu.com.tw/Mogi.rar 脫殼後的網址 http://www.sinu.com.tw/dump.exe PEiD檢測殼為PECompact 2.x -> Jeremy Collake ESP定律脫殼後出現 Runtime Error R6002 Floating point not loaded 請問各位高手怎麼幫幫忙 2009-2-16 22:25 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 10 楼不是已经让你看帖了吗？怎么还在脱壳区新开主题问这个问题？你分离一下区段，把起始 RVA 为 00281000 的那个段特征值设为 40000040 就行了。 2009-2-16 22:56 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 11 楼該用哪套軟體用~且該怎麼用呢~有沒有教學頁面可以供參考呢 2009-2-16 23:46 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 12 楼 http://bbs.pediy.com/showthread.php?t=28402 2009-2-16 23:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 2 楼看出现的情况应该是VC8的程序吧？重建原始区段，把第二个段的特征值设为40000040。具体可以参考这个帖子： http://bbs.pediy.com/showthread.php?t=58034 2009-2-13 21:28 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 3 楼可以說詳細點嗎? 有看沒有懂或是請問哪裡有腳本可以下載使用感恩不盡 2009-2-14 00:19 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 4 楼你好~我已經照您寫的重建原始区段，並把第二个段的特征值设为40000040 結果還是ㄧ樣~請問要怎麼用呢 2009-2-14 10:56 0
icersg 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 471 粉丝 0 关注私信	icersg 5 楼这个不就是腾迅活动的那个第三题么。具体解释看这里 http://bbs.pediy.com/forumdisplay.php?f=120&tcatid=111 不过用OD dump出来的直接就是2个section，一个是.text, 一个是.rsrc，如果用ImportREC修复有可能多一个section。程序才初始化的时候会检查RAV=00289240所在的section的属性是否为可写。如果可写，就跳过这一段的初始化，所以会出问题。而这个地方位于第一个节.text，如果改成不可写，程序可能连载入都不行。也许可以修改section header，把.text细分一下，多加一个.rdata并改一下属性，也许可以。但是我不太会，所以我直接改的程序流程，让他强行初始化。打开程序以后，Ctrl+F查找push 00400000，用Ctrl+L查找下一个，一共有3个，最后一个是要改的地方，先下个断点，那里就是察看section是否可写的，等返回之后，把下面的je这句nop掉，就可以了。 005F1814 . 68 00004000 push 00400000 ; 搜索push 00400000，这里是第三个 005F1819 . E8 52FFFFFF call 005F1770 005F181E . 83C4 08 add esp, 8 005F1821 . 85C0 test eax, eax 005F1823 . 74 3B je short 005F1860 005F1825 . 8B40 24 mov eax, dword ptr [eax+24] 005F1828 . C1E8 1F shr eax, 1F ; 用这句来确认找到的push 00400000是否正确 005F182B . F7D0 not eax 005F182D . 83E0 01 and eax, 1 005F1830 . C745 FC FEFFF>mov dword ptr [ebp-4], -2 005F1837 . 8B4D F0 mov ecx, dword ptr [ebp-10] 005F183A . 64:890D 00000>mov dword ptr fs:[0], ecx 005F1841 . 59 pop ecx 005F1842 . 5F pop edi 005F1843 . 5E pop esi 005F1844 . 5B pop ebx 005F1845 . 8BE5 mov esp, ebp 005F1847 . 5D pop ebp 005F1848 . C3 retn ; 返回 005DE9FB /$ 833D 40926800>cmp dword ptr [689240], 0 005DEA02 \|. 74 1A je short 005DEA1E 005DEA04 \|. 68 40926800 push 00689240 005DEA09 \|. E8 B22D0100 call 005F17C0 005DEA0E \|. 85C0 test eax, eax ; 返回到这里 005DEA10 \|. 59 pop ecx 005DEA11 \|. 74 0B je short 005DEA1E ; nop掉这句就行啦 005DEA13 \|. FF7424 04 push dword ptr [esp+4] 005DEA17 \|. FF15 40926800 call dword ptr [689240] ; dump_.005E54EB 005DEA1D \|. 59 pop ecx 005DEA1E \|> E8 FD2C0100 call 005F1720 2009-2-14 11:54 0
完美hacker 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	完美hacker 6 楼重建原始区段 2009-2-14 21:16 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 7 楼看这个帖子吧： http://bbs.pediy.com/showthread.php?t=82168 用脚本跑一下，再自己修复相关内容。 2009-2-16 15:04 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 8 楼將區段特徵値設為唯讀後~依舊還是出現Runtime Error R6002 Floating point not loaded 救命ㄚ 2009-2-16 21:45 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 9 楼原始檔網址: http://www.sinu.com.tw/Mogi.rar 脫殼後的網址 http://www.sinu.com.tw/dump.exe PEiD檢測殼為PECompact 2.x -> Jeremy Collake ESP定律脫殼後出現 Runtime Error R6002 Floating point not loaded 請問各位高手怎麼幫幫忙 2009-2-16 22:25 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 10 楼不是已经让你看帖了吗？怎么还在脱壳区新开主题问这个问题？你分离一下区段，把起始 RVA 为 00281000 的那个段特征值设为 40000040 就行了。 2009-2-16 22:56 0
adzqis 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	adzqis 11 楼該用哪套軟體用~且該怎麼用呢~有沒有教學頁面可以供參考呢 2009-2-16 23:46 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 12 楼 http://bbs.pediy.com/showthread.php?t=28402 2009-2-16 23:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]請問各位高手怎麼幫幫忙!脫殼後出現Runtime Error R6002 Floating point not loaded 0.00雪花