首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[求助]这个程序OD不能加载
发表于: 2009-4-25 23:05 5558

[求助]这个程序OD不能加载

coolszy 活跃值
2009-4-25 23:05
5558
这个程序OD不能加载,要怎么解决?

权限不够,不能上传附件

麻烦高手到这里下载文件 http://www.qiannao.com/space/show/coolszy/上传分享/acman2008.rar/.page

帮我解决这个问题

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (11)
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
2
不知道是什么壳,不认识。

我的OllyICE加载没有问题,前两个CALL用F7过,然后下面紧跟着一个条件跳转,直接到跳转的目的地址,F4,再往下几行就看到有一个jmp eax,这个Jmp就到了OEP了。

看样子是个压缩壳,IAT没有加密,直接修复就好。

BTW:我可以顺利加载不知道和Olly Advanced插件有无关系。
2009-4-26 21:30
0
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
3
另外,这个程序把我的IE主页改了。我估计楼主不是故意的吧?

有没有其它后遗症,留待观察。
2009-4-26 21:33
0
mkamao
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我的主页也被改了,变haoda123了,我的也可以加载,能找到oep,可那楼主od有问题吧,换一个版本吧。
2009-4-26 21:54
0
coolszy
雪    币: 199
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
不好意思诸位
我还没注意
由于我每次运行系统都运行影子系统保护我的系统盘
所以我不知到主页是否被改变
但是我的收藏夹里(在非保护区)里有这个网站的收藏链接
还有貌似不是这个软件的问题,我记得才这个之前我安装了一个软件是 三国英雄传(貌似)
街机右击,那个程序貌似会修改注册,应该是这个网站,

具体有其它问题,我还不知道

给你们带来不便还请你们谅解
2009-4-27 13:37
0
coolszy
雪    币: 199
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我重新试了下,确实修改了主页,再次说声对不起,

关于程序,我用OD载入,先出现这个警告,

shift+F9来到程序入口

通过ESP定律下硬件断点
程序在这里出现异常

shift+F9 后程序就跑起来了,


不知道这个怎么解决
2009-4-27 14:11
0
hatling
雪    币: 229
活跃值: (503)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
7
我这里也有这个问题,我觉得是加壳软件设置的一个异常,不过好像对调试没什么影响

下面是我用od调试的结果

7C9497AD   > /8B06          mov     eax, dword ptr [esi]  //这里把30432f7a赋值给eax
7C9497AF   . |3BC3          cmp     eax, ebx
7C9497B1   . |0F85 4C330100 jnz     7C95CB03
7C9497B7   > |834D FC FF    or      dword ptr [ebp-4], FFFFFFFF
7C9497BB   . |E8 4651FEFF   call    7C92E906
7C9497C0   . |C2 0800       retn    8


这是eip为7C9497AD时的数据
ds:[00552010]=30432F7A
eax=0060BF3C (个人财务.0060BF3C)
跳转来自 7C95CAFE, 7C95CB30


接下来程序会call 30432F7A

7C921176  /$  55            push    ebp
7C921177  |.  8BEC          mov     ebp, esp
7C921179  |.  56            push    esi
7C92117A  |.  57            push    edi
7C92117B  |.  53            push    ebx
7C92117C  |.  8BF4          mov     esi, esp
7C92117E  |.  FF75 14       push    dword ptr [ebp+14]
7C921181  |.  FF75 10       push    dword ptr [ebp+10]
7C921184  |.  FF75 0C       push    dword ptr [ebp+C]
7C921187  |.  FF55 08       call    dword ptr [ebp+8]//这里就是call 30432F7A了
而此时30432F7A这个地址是无效的,所以引发异常,而这个异常od不能处理,就提示30432F7A内存地址不可读
7C92118A  |.  8BE6          mov     esp, esi
7C92118C  |.  5B            pop     ebx
7C92118D  |.  5F            pop     edi
7C92118E  |.  5E            pop     esi
7C92118F  |.  5D            pop     ebp
7C921190  \.  C2 1000       retn    10

下面是eip为7C921187  的数据

堆栈 ss:[0012F9D4]=30432F7A


储存30432F7A这个数值的内存地址是552010,对应的文件offset是00079010
你用winhex定位到00079010,把“7a 2f 43 30”修改为"00 00 00 00"就可以去掉这个异常了
2009-4-27 20:48
0
hatling
雪    币: 229
活跃值: (503)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
8
呵呵,上面说错了,,不是去掉那个异常,而是让od能正常处理那个异常
我把修改后的传上来,你试试
上传的附件:
  • 1.rar (594.98kb,8次下载)
2009-4-27 20:57
0
hatling
雪    币: 229
活跃值: (503)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
9
呵呵,这个程序蛮有趣的
程序里面有个和壳类似的异常,脱壳后用od载入后会提示87878787不可读,但可正常运行,
和上面的修改一样,找到87878787的储存地址,我这里找到的地址还是552010,对应脱壳后文件的offset是00152010,在winhex中定位到00152010,同样修改“87878787”为“00000000”就可以正常调试了

把我脱壳修改后的传上来
上传的附件:
  • 3.rar (619.71kb,4次下载)
2009-4-27 21:14
0
coolszy
雪    币: 199
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
我用了一个脱壳机 把客给脱了
2009-4-27 23:11
0
monsterok
雪    币: 603
活跃值: (40)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
11
一定要把壳脱了的
2009-4-28 08:53
0
风轻云清
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
看看先。
2009-4-28 09:34
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//