[求助]脱壳成功, 为什么无法运行?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 2 楼步骤有问题！仔细检察下！ 2009-4-11 12:19 0
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 3 楼步骤一样的, 脱壳出来的文件, OD里看到的跟教程里是一样的. 只是不知道脱壳的原文件跟天草的是不是一样的, 教程里的源文件被删了, 我是另外在网上下载的, 版本号一样. 2009-4-11 12:45 0
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 4 楼我又仔细观察了一遍, 天草的到这里 005FCCA6 - E9 4560F2FF JMP rejoice.00522CF0 按F8步过, 进入的是 00522CF0 55 push ebp 我到这里 005FCCA6 - E9 4560F2FF JMP rejoice.00522CF0 按F8步过, 进入的是 00522CF0 55 DB 55 00522CF1 8B DB 8B 00522CF2 EC DB EC 不知道为啥? 2009-4-11 13:54 0
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 5 楼没人理我已经找到问题所在了, 希望跟我一样刚入门学习脱壳的朋友可以少走点弯路!!! 跟踪到这里 005FCCA6 - E9 4560F2FF JMP rejoice.00522CF0 按F8步过, 进入的是 00522CF0 55 DB 55 00522CF1 8B DB 8B 00522CF2 EC DB EC 这里, 跟天草教程里面不一样, 但没关系, 右键"分析"->"从模块删除分析" 就变成这样了 00522CF0 55 PUSH EBP 00522CF1 8BEC MOV EBP,ESP 00522CF3 83C4 E4 ADD ESP,-1C 00522CF6 53 PUSH EBX 00522CF7 B8 F0275200 MOV EAX,rejoice.005227F0 看, 是不是和教程里面的一样了. 这只是第一步而已, 虽然已经找到正确的入口点, 我后面的那几步操作不一致才会导致文件无法运行. 接下来的一下非常重要, 由于OD调试时, 已经有进程rejoice了, 所以不需要再打开rejoice 直接用LoadPe, 脱壳, 我错误的操作是记录下入口点, 关掉OD -> 打开rejoice -> LoadPe 脱壳 -> Import REC修复正确的应该是记录下入口点 -> LoadPe脱壳 -> Import REC修复最后, 接教程里的步骤进行就可以了. 好像还可以用LoadPe 重建一下PE表, 文件大小会小一点, 暂时不知道有啥用处! 继续学习中. 2009-4-11 14:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 2 楼步骤有问题！仔细检察下！ 2009-4-11 12:19 0
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 3 楼步骤一样的, 脱壳出来的文件, OD里看到的跟教程里是一样的. 只是不知道脱壳的原文件跟天草的是不是一样的, 教程里的源文件被删了, 我是另外在网上下载的, 版本号一样. 2009-4-11 12:45 0
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 4 楼我又仔细观察了一遍, 天草的到这里 005FCCA6 - E9 4560F2FF JMP rejoice.00522CF0 按F8步过, 进入的是 00522CF0 55 push ebp 我到这里 005FCCA6 - E9 4560F2FF JMP rejoice.00522CF0 按F8步过, 进入的是 00522CF0 55 DB 55 00522CF1 8B DB 8B 00522CF2 EC DB EC 不知道为啥? 2009-4-11 13:54 0
yihai逸海雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 73 粉丝 0 关注私信	yihai逸海 5 楼没人理我已经找到问题所在了, 希望跟我一样刚入门学习脱壳的朋友可以少走点弯路!!! 跟踪到这里 005FCCA6 - E9 4560F2FF JMP rejoice.00522CF0 按F8步过, 进入的是 00522CF0 55 DB 55 00522CF1 8B DB 8B 00522CF2 EC DB EC 这里, 跟天草教程里面不一样, 但没关系, 右键"分析"->"从模块删除分析" 就变成这样了 00522CF0 55 PUSH EBP 00522CF1 8BEC MOV EBP,ESP 00522CF3 83C4 E4 ADD ESP,-1C 00522CF6 53 PUSH EBX 00522CF7 B8 F0275200 MOV EAX,rejoice.005227F0 看, 是不是和教程里面的一样了. 这只是第一步而已, 虽然已经找到正确的入口点, 我后面的那几步操作不一致才会导致文件无法运行. 接下来的一下非常重要, 由于OD调试时, 已经有进程rejoice了, 所以不需要再打开rejoice 直接用LoadPe, 脱壳, 我错误的操作是记录下入口点, 关掉OD -> 打开rejoice -> LoadPe 脱壳 -> Import REC修复正确的应该是记录下入口点 -> LoadPe脱壳 -> Import REC修复最后, 接教程里的步骤进行就可以了. 好像还可以用LoadPe 重建一下PE表, 文件大小会小一点, 暂时不知道有啥用处! 继续学习中. 2009-4-11 14:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复