能力值:
( LV2,RANK:10 )
|
-
-
2 楼
我以前也出现过这样的现象,后面虽然解决了,但是一直不知道问题原因,可以参考
http://hi.baidu.com/54clown/blog/item/8adcbb1eefab5e6bf724e422.html
可能是系统的原因,因为楼主的程序我跑到OEP并Dump后没有出现该现象
结合这篇文章和楼主的具体情况,Patch如下代码试试:
pushad <=新OEP
mov esi,00401000
MOV EBP,DWORD PTR DS:[ESI+2E8CC4] ; kernel32.VirtualProtect
LEA EDI,DWORD PTR DS:[ESI-1000]
MOV EBX,1000
PUSH EAX
PUSH ESP
PUSH 4
PUSH EBX
PUSH EDI
CALL EBP
LEA EAX,DWORD PTR DS:[EDI+22F]
AND BYTE PTR DS:[EAX],7F
AND BYTE PTR DS:[EAX+28],7F
POP EAX
PUSH EAX
PUSH ESP
PUSH EAX
PUSH EBX
PUSH EDI
CALL EBP
POP EAX
JMP 脱壳后的OEP
其实这就是UPX壳的后面几句代码,不知能不能帮到你。
|
能力值:
(RANK:990 )
|
-
-
3 楼
应该是 VC8 以上的程序吧?脱壳后重建原始的区段,第二个 .rdata 段的特征值设为 40000040 即可。
|
能力值:
(RANK:210 )
|
-
-
4 楼
明明是启动以后内存里第一个段的写标志.
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
楼上二位大牛,麻烦解说下该问题的原因。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
想起一件事
QQ安装程序,还有一些install安装包。中了机器狗病毒就提示这个,杀掉了,依旧会提示。
|
|
|