[新手求助]脱一外挂，结果关闭OD,还把硬盘数据删了，郁闷~~~-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (21)
Genius 雪币： 425 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 108 粉丝 1 关注私信	Genius 2 楼看来你遇到高手了 2009-5-10 21:56 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 3 楼那要看他如何检测虚拟机了如果你用的是vmware http://www.xuniji.com/forum/view.asp?id=13901 2009-5-11 10:09 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 4 楼能检测虚拟机，很明显不是ASPack，一个外挂一般不会做到本身程序就反虚拟机，应该是伪壳，不知道是不是Rlpack！ 2009-5-11 10:55 0
密码采风雪币： 116 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	密码采风 5 楼 3楼发的链接很好啊，解决了没游戏在虚拟机运行的问题！ 2009-5-11 11:48 0
tonysky 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	tonysky 6 楼谢谢三楼的,学习了 2009-5-11 12:04 0
mzdlinux 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	mzdlinux 7 楼这招损。以后可以学习一下 2009-5-11 13:19 0
mzdlinux 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	mzdlinux 8 楼那是什么外挂我也尝试下 2009-5-11 13:24 0
pobomud 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	pobomud 9 楼这是一个罗马复兴的游戏外挂，该外挂是个启动文件，运行后会生成一个隐藏属性的真正的可执行文件，然后运行这个生成的可执行文件，停止启动文件。复制自动生成的可执行文件，修改属性为正常，直接双击该真正的外挂程序是不能运行的，可见本身有检测运行条件，必须是那个启动文件运行他才会有效，而且在虚拟机里是无法启动运行该外挂的。查其壳显示为VC6.0,用OD载入查看，其实是加壳后在进入口附加了一段VC6.0特征代码，跳过该代码运行来到程序加壳处，在内存会看到ASPACK段，再继续往下走会关闭OD,删除硬盘文件。感兴趣的可留下邮箱，我可以发给你研究，但如果出现硬盘数据被删等后果自负。 2009-5-14 08:51 0
baos 雪币： 86 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	baos 10 楼现在加密的程度是越来越高手了。稍威不小心碰到高手还真的是全盘死亡啊 2009-5-15 11:52 0
hushx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hushx 11 楼现在加密的程度是越来越高手,不小心真的就给删硬盘了 2009-5-15 16:24 0
awpper 雪币： 205 能力值： (RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	awpper 12 楼把硬盘其它一个档案处于执行状态后，再试一次，看看是否会出现error msg讯息，再重msg位置逆向... 2009-5-15 17:41 0
awpper 雪币： 205 能力值： (RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	awpper 13 楼可以烦请寄给我吗~^^" 谢谢 [email]awpper@hotmail.com[/email] 2009-5-15 17:42 0
lwhlwhlwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	lwhlwhlwh 14 楼可以寄给我试下么.huaxiao20@21cn.com 2009-5-28 20:06 0
tigris 雪币： 420 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	tigris 15 楼也发给我一份吧！谢谢哦！ igorzul@gmail.com 2009-5-29 21:09 0
softking 雪币： 208 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	softking 16 楼估计楼主被黑了！ 2009-5-29 21:23 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 17 楼删C盘还是其他盘都删？ 2009-5-29 22:28 0
挂挂雪币： 46 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 189 粉丝 0 关注私信	挂挂 18 楼真 BT 的保护。。。汗 2009-5-30 10:49 0
zhimingcom 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 131 粉丝 0 关注私信	zhimingcom 19 楼这么多勇士啊，不怕死 2009-5-31 11:33 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 20 楼 z这还不直接报病毒 2009-5-31 22:12 0
dcfdf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dcfdf 21 楼发我一份弄弄看dxfdf1@163.com 2009-6-1 01:20 0
guyuelang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	guyuelang 22 楼汗一个 NND现在的挂被逼的狗急跳墙了确实值得注意 2009-6-2 16:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (21)
Genius 雪币： 425 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 108 粉丝 1 关注私信	Genius 2 楼看来你遇到高手了 2009-5-10 21:56 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 3 楼那要看他如何检测虚拟机了如果你用的是vmware http://www.xuniji.com/forum/view.asp?id=13901 2009-5-11 10:09 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 4 楼能检测虚拟机，很明显不是ASPack，一个外挂一般不会做到本身程序就反虚拟机，应该是伪壳，不知道是不是Rlpack！ 2009-5-11 10:55 0
密码采风雪币： 116 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	密码采风 5 楼 3楼发的链接很好啊，解决了没游戏在虚拟机运行的问题！ 2009-5-11 11:48 0
tonysky 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	tonysky 6 楼谢谢三楼的,学习了 2009-5-11 12:04 0
mzdlinux 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	mzdlinux 7 楼这招损。以后可以学习一下 2009-5-11 13:19 0
mzdlinux 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	mzdlinux 8 楼那是什么外挂我也尝试下 2009-5-11 13:24 0
pobomud 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	pobomud 9 楼这是一个罗马复兴的游戏外挂，该外挂是个启动文件，运行后会生成一个隐藏属性的真正的可执行文件，然后运行这个生成的可执行文件，停止启动文件。复制自动生成的可执行文件，修改属性为正常，直接双击该真正的外挂程序是不能运行的，可见本身有检测运行条件，必须是那个启动文件运行他才会有效，而且在虚拟机里是无法启动运行该外挂的。查其壳显示为VC6.0,用OD载入查看，其实是加壳后在进入口附加了一段VC6.0特征代码，跳过该代码运行来到程序加壳处，在内存会看到ASPACK段，再继续往下走会关闭OD,删除硬盘文件。感兴趣的可留下邮箱，我可以发给你研究，但如果出现硬盘数据被删等后果自负。 2009-5-14 08:51 0
baos 雪币： 86 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	baos 10 楼现在加密的程度是越来越高手了。稍威不小心碰到高手还真的是全盘死亡啊 2009-5-15 11:52 0
hushx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hushx 11 楼现在加密的程度是越来越高手,不小心真的就给删硬盘了 2009-5-15 16:24 0
awpper 雪币： 205 能力值： (RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	awpper 12 楼把硬盘其它一个档案处于执行状态后，再试一次，看看是否会出现error msg讯息，再重msg位置逆向... 2009-5-15 17:41 0
awpper 雪币： 205 能力值： (RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	awpper 13 楼可以烦请寄给我吗~^^" 谢谢 [email]awpper@hotmail.com[/email] 2009-5-15 17:42 0
lwhlwhlwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	lwhlwhlwh 14 楼可以寄给我试下么.huaxiao20@21cn.com 2009-5-28 20:06 0
tigris 雪币： 420 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	tigris 15 楼也发给我一份吧！谢谢哦！ igorzul@gmail.com 2009-5-29 21:09 0
softking 雪币： 208 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	softking 16 楼估计楼主被黑了！ 2009-5-29 21:23 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 17 楼删C盘还是其他盘都删？ 2009-5-29 22:28 0
挂挂雪币： 46 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 189 粉丝 0 关注私信	挂挂 18 楼真 BT 的保护。。。汗 2009-5-30 10:49 0
zhimingcom 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 131 粉丝 0 关注私信	zhimingcom 19 楼这么多勇士啊，不怕死 2009-5-31 11:33 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 20 楼 z这还不直接报病毒 2009-5-31 22:12 0
dcfdf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dcfdf 21 楼发我一份弄弄看dxfdf1@163.com 2009-6-1 01:20 0
guyuelang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	guyuelang 22 楼汗一个 NND现在的挂被逼的狗急跳墙了确实值得注意 2009-6-2 16:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复