壳脱了,有什么情况还会出现入口警告??-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼脱壳后正常运行就不必理会这个确定就行了 2004-12-20 13:56 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 3 楼可是WKTVBDE 和VBExplorer 不让运行啊,目标是PCODE的东西,所以....啊,郁闷中..... 2004-12-20 14:16 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 4 楼 any others idear???? 2004-12-20 14:19 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 5 楼有Overlay就会提示吧 2004-12-20 14:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 UPX-Ripper 2004-12-20 14:20 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 7 楼 WKTVBDE 不认识问题解决了！但VBExplorer还是会出现非法操作。 Thanks to fly & xIkUg ! 不是脱壳的问题。可能是WKTVBDE的BUG吧。 ////VBfix.JPG_226.jpg 麻烦删除。/// 并非上面问题！具体原因我再看看，给大家一个答复。不好意思。 2004-12-20 15:37 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 8 楼原因找到： 0040147E \|. 8BC8 \|mov ecx,eax ; //eax=0018E174 00401480 \|. 030D 4>\|add ecx,dword ptr ds:[407F46] ; //ecx=18E174+1220000=013AE174 ASCII="msvbvm50.dll" 00401486 \|. 83C7 1>\|add edi,14 00401489 \|. 8139 4>\|cmp dword ptr ds:[ecx],4256534D ; //"msvbvm50.dll" 前4位是否为"MSVB",如果不是就出现不是VB程序的错误。 0040148F 74 22 \|je short Loader.004014B3 00401491 \|> 833F 0> cmp dword ptr ds:[edi],0 00401494 \|.^ 75 D9 \|jnz short Loader.0040146F 00401496 \|. 837F 0>\|cmp dword ptr ds:[edi+4],0 0040149A \|.^ 75 D3 \|jnz short Loader.0040146F 0040149C \|. 837F 0>\|cmp dword ptr ds:[edi+8],0 004014A0 \|.^ 75 CD \|jnz short Loader.0040146F 004014A2 \|. 837F 0>\|cmp dword ptr ds:[edi+C],0 004014A6 \|.^ 75 C7 \|jnz short Loader.0040146F 004014A8 \|. 837F 1>\|cmp dword ptr ds:[edi+10],0 004014AC ^ 75 C1 \jnz short Loader.0040146F 004014AE \|. E9 FD0>jmp Loader.004018B0 004018B0 \|> \8D35 5>lea esi,dword ptr ds:[40325A] ; //地址=0040325A, (ASCII " This file does NOT import a VB dll.") esi=00401030 (Loader.00401030) Jumps from 004014AE, 004014D5 004018B6 \|. EB 18 jmp short Loader.004018D0 004018B8 \|> 8D35 8>lea esi,dword ptr ds:[403280] 004018BE \|. EB 10 jmp short Loader.004018D0 004018C0 \|> 8D35 B>lea esi,dword ptr ds:[4032B3] 从上面我们就可以看出WKTVBDE为什么不认识有些VB的程序了。里面的玄机大家应该悟出来了吧！:D 有人摸不着头脑的话，有时间我写个教程什么的。 2004-12-20 16:16 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼或许你以前安装其他VB程序时把系统原来的VB支持库替换了 2004-12-20 16:19 0
小楼雪币： 166 活跃值： (112) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 56 粉丝 1 关注私信	小楼 1 10 楼可以根据vb程序特点及PE结构手工修正，是的wktvbdebug，exdec等能正常工作 2004-12-21 10:16 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 11 楼主要问题在这里： cmp dword ptr ds:[ecx],4256534D 4256534D <==>BVSM==>MSVB 这里wktvbdebug只比较大写的MSVBVM50.DLL,MSVBVM60.DLL,如果是小写的msvbvm50.dll,msvbvm60.dll就误认为不是VB的程序,就OVER了. 2004-12-21 16:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼脱壳后正常运行就不必理会这个确定就行了 2004-12-20 13:56 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 3 楼可是WKTVBDE 和VBExplorer 不让运行啊,目标是PCODE的东西,所以....啊,郁闷中..... 2004-12-20 14:16 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 4 楼 any others idear???? 2004-12-20 14:19 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 5 楼有Overlay就会提示吧 2004-12-20 14:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 UPX-Ripper 2004-12-20 14:20 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 7 楼 WKTVBDE 不认识问题解决了！但VBExplorer还是会出现非法操作。 Thanks to fly & xIkUg ! 不是脱壳的问题。可能是WKTVBDE的BUG吧。 ////VBfix.JPG_226.jpg 麻烦删除。/// 并非上面问题！具体原因我再看看，给大家一个答复。不好意思。 2004-12-20 15:37 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 8 楼原因找到： 0040147E \|. 8BC8 \|mov ecx,eax ; //eax=0018E174 00401480 \|. 030D 4>\|add ecx,dword ptr ds:[407F46] ; //ecx=18E174+1220000=013AE174 ASCII="msvbvm50.dll" 00401486 \|. 83C7 1>\|add edi,14 00401489 \|. 8139 4>\|cmp dword ptr ds:[ecx],4256534D ; //"msvbvm50.dll" 前4位是否为"MSVB",如果不是就出现不是VB程序的错误。 0040148F 74 22 \|je short Loader.004014B3 00401491 \|> 833F 0> cmp dword ptr ds:[edi],0 00401494 \|.^ 75 D9 \|jnz short Loader.0040146F 00401496 \|. 837F 0>\|cmp dword ptr ds:[edi+4],0 0040149A \|.^ 75 D3 \|jnz short Loader.0040146F 0040149C \|. 837F 0>\|cmp dword ptr ds:[edi+8],0 004014A0 \|.^ 75 CD \|jnz short Loader.0040146F 004014A2 \|. 837F 0>\|cmp dword ptr ds:[edi+C],0 004014A6 \|.^ 75 C7 \|jnz short Loader.0040146F 004014A8 \|. 837F 1>\|cmp dword ptr ds:[edi+10],0 004014AC ^ 75 C1 \jnz short Loader.0040146F 004014AE \|. E9 FD0>jmp Loader.004018B0 004018B0 \|> \8D35 5>lea esi,dword ptr ds:[40325A] ; //地址=0040325A, (ASCII " This file does NOT import a VB dll.") esi=00401030 (Loader.00401030) Jumps from 004014AE, 004014D5 004018B6 \|. EB 18 jmp short Loader.004018D0 004018B8 \|> 8D35 8>lea esi,dword ptr ds:[403280] 004018BE \|. EB 10 jmp short Loader.004018D0 004018C0 \|> 8D35 B>lea esi,dword ptr ds:[4032B3] 从上面我们就可以看出WKTVBDE为什么不认识有些VB的程序了。里面的玄机大家应该悟出来了吧！:D 有人摸不着头脑的话，有时间我写个教程什么的。 2004-12-20 16:16 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼或许你以前安装其他VB程序时把系统原来的VB支持库替换了 2004-12-20 16:19 0
小楼雪币： 166 活跃值： (112) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 56 粉丝 1 关注私信	小楼 1 10 楼可以根据vb程序特点及PE结构手工修正，是的wktvbdebug，exdec等能正常工作 2004-12-21 10:16 0
cAtEyE 雪币： 225 活跃值： (145) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 64 粉丝 0 关注私信	cAtEyE 2 11 楼主要问题在这里： cmp dword ptr ds:[ecx],4256534D 4256534D <==>BVSM==>MSVB 这里wktvbdebug只比较大写的MSVBVM50.DLL,MSVBVM60.DLL,如果是小写的msvbvm50.dll,msvbvm60.dll就误认为不是VB的程序,就OVER了. 2004-12-21 16:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复