首页
社区
课程
招聘
[求助]关于易语言的脱壳问题,都进来看看!
发表于: 2009-5-14 16:06 9268

[求助]关于易语言的脱壳问题,都进来看看!

2009-5-14 16:06
9268
用不少的查壳软件都查不到,用了某一个peid查,说是:Safeguard 1.03 -> Simonzh [Overlay] *
暂且认识是,大牛们来鉴定下特征:
0047F8D7 >  E8 01000000     call test.0047F8DD
0047F8DC    D6              salc
0047F8DD    871424          xchg dword ptr ss:[esp],edx
0047F8E0    8D92 BF060000   lea edx,dword ptr ds:[edx+6BF]
0047F8E6    871424          xchg dword ptr ss:[esp],edx
0047F8E9    E9 AD060000     jmp test.0047FF9B
0047F8EE    D5 D9           aad 0D9
0047F8F0    C7              ???                                      ; 未知命令
0047F8F1    3BD8            cmp ebx,eax
0047F8F3  ^ E9 ECFBFFFF     jmp test.0047F4E4
0047F8F8    2289 45F8E9C2   and cl,byte ptr ds:[ecx+C2E9F845]
0047F8FE    0000            add byte ptr ds:[eax],al
0047F900    00645B E9       add byte ptr ds:[ebx+ebx*2-17],ah
0047F904    FE              ???                                      ; 未知命令
0047F905    FB              sti
0047F906    FFFF            ???                                      ; 未知命令
0047F908    1979 DD         sbb dword ptr ds:[ecx-23],edi
0047F90B    198B 5D0CE917   sbb dword ptr ds:[ebx+17E90C5D],ecx
0047F911    FFFF            ???                                      ; 未知命令
0047F913    FF55 E6         call dword ptr ss:[ebp-1A]
0047F916  - E9 95E95405     jmp 059CE2B0
0047F91B    0000            add byte ptr ds:[eax],al
0047F91D    C1CA 0F         ror edx,0F
0047F920    83DE 06         sbb esi,6
0047F923    0000            add byte ptr ds:[eax],al
0047F925    E9 8C010000     jmp test.0047FAB6
0047F92A    50              push eax
0047F92B    E9 EB060000     jmp test.0048001B
0047F930    33ACE9 67FCFFFF xor ebp,dword ptr ds:[ecx+ebp*8-399]
0047F937    0C E4           or al,0E4
-----------------------------------------------------------------
看到是overlay,认为是易语言。用易语言通用脱壳机1.2,能脱壳成功,但是运行不行。
提示 Invalid data in the file。说明附加数据错误。。
我晕,这个脱壳机我选定修复附加数据了呀,怎么会错误呢?
赶紧翻书《加密与解密》第三版,附加数据章节。。说的甚少。
还太不明白,怎么才能修复成功呢?
这样的壳如何手脱?脚本脱?
请大牛指点下?

[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 557
活跃值: (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
用易语言通用脱壳机1.2,能脱壳成功,但是运行不行。
提示 Invalid data in the file。说明附加数据错误。。

-------- 缺少支持库吧。。。到Temp目录下找回来
2009-5-14 16:50
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
确定不是支持库的问题。。
2009-5-14 20:06
0
雪    币: 205
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
也是本人多日不得其解的问题,期待有高人给与明确的解释,应该不是支持库的问题。
2009-5-15 23:07
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
你说的壳是对的,但是易又不是完全是那种壳,可能是吴涛先生经过改进过的,脱壳时会把程序中正常的内容给修改掉一部分,所以会出错,我在OD中查看过
2009-5-18 22:07
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
新版本,脱壳机不是万能
2009-5-19 23:01
0
雪    币: 2292
活跃值: (876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
直接把源程序的附加数据部分写回脱壳文件里则可以了!
2009-5-21 04:42
0
雪    币: 2292
活跃值: (876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
易语言所编写的程序从3.8版本以后的脱壳方法都是一样的!
至于脱壳机, 其实稍微修改一下取易语言格式特征部分的功能就可以了...
2009-5-21 04:44
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
有点奇怪的是,用静态脱壳机,选上附加数据,脱壳出现
提示 Invalid data in the file
用dump_e 脱壳,能脱,但是运行出错。
--------------------------------------
这应该脱壳说明读取易格式特征部分没有问题吧?

还有更奇怪的,用静态脱壳机不选附件数据,脱完,然后下本论坛的eadddata工具,把它提供的data文件附加上,程序出现载入窗口失败。这应该是库不是最新版的问题。为啥原文件的附加数据附上会出现Invalid data in the file提示,老版本的data附加上就没有问题了呢?
2009-5-21 10:53
0
雪    币: 317
活跃值: (93)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
10
ZP的入口,脱机脱下来就报错,无救的~
2009-5-22 03:51
0
游客
登录 | 注册 方可回帖
返回
//