fly请帮我看一下IMCREC的小问题 :》-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼 U can try to use LordPE to add space in headers for new section. 2004-12-26 14:56 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 3 楼 use winhex? 追加0 然后修复PE头吗？我觉得很奇怪，以前使用IMCREC没遇上这样的问题，呵呵 thank 2004-12-26 16:07 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼也可以直接放在原来的壳数据部分 2004-12-26 17:28 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 5 楼 thanks 2位。计算器也搞定了。不过好象还是差点什么。(感觉侥幸了点呵呵) 一补进去，重建PE就正常了（没遇上函数出错需要手动追修改成正确函数的那个情况）追加块进去要写PE头，回头又看了会PE构造，真是解密回来，最后还是要讨论这个。。。有问题会再请教的。。。。thank! 2004-12-27 11:29 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 6 楼 : 》昨天把记事本和计算器上成功干掉了，今天找了个新目标,我是这样做的，请帮我检查一下有什么不对的地方。 1. 查OEP。使用 PEID 0.92汉化版(06062004)那个，提示aspro版本1.2x-1.3x,顺利得到OEP 004d0281 2. 使用superbpm+trw2k 载入： (问题来了，这次不象记事本那样，直接g 004010cc就到了。它停留在一个陌生的地方？014?????) 我继续输入g 004d0281 2次后，成功断下，然后挂起使用lordpe,dump all.得到dump.exe 文件 (事后我估计主要问题大概还是在这里). 3. 运行加壳程序,打开IMCREC，输入OEP减去基址(004d0281-00400000)写上入口点，点autosearch，get imports,发现2个函数类是NO，用show invalid打开后，使用level1修复，有2个修复不了，使用asprotect1.2x修复， all yes. :-) 点 FIX dump.exe 完毕。得到 dump_.exe 4. 这个文件不能运行，报错信息是某块处无效指令。使用superbpm+trw2k追 dump_.exe. （载入后就停留在004d0281处，显示全是问号，按一下f10后，就会有数据了）. F10单步运行，发现一个关键CALL 01560000后出错，F8跟进,发现全是? 原来是缺少数据。记下了关键call进入后的地址。01560000 准备去加壳软件里偷出来 :) 5.superbpm+trw2k载入加壳软件。先go 004d0281处，(很奇怪，中途停留在一个地方),然后同样F10单步跟进，到关键CALL 01560000时候F8进入,输入d 01560000 会看见数据，使用alt+up alt+down,得到这一块数据的前后地址，(01560000---01561000) . 用w 01560000 01561000 new.bin获得这一块数据 ,保存文件为new.bin 6.使用winhex将new.bin追加到dump_.exe末尾. 7.使用lordPE载入，点sections然后追加新块, 原始地址写上01560000-00400000=01160000,原始尺寸和虚拟尺寸都是1000,flags修改成c0000040,保存。在OPTIONs的Rubuilder里，只选上status windows和 validate PE,Rebuild PE完成. 8.superbpm+trw2k载入dunp_.exe跟踪运行，载入后停留在004d0281处，F10运行到关键call 01560000， F8跟进，全是问号？！？！试着F10运行一下，呵呵，数据全有了。。。。自此，程序修复块丢失问题解决，可是。。。。运行下去，没了任何反映。。。(估计还是缺少东西？！) 回头追上壳软件到关键call里面后，需要使用在追OEP(004d0281)时停下的那个地址014???附近以前的那些数据。我就在想，是否我的OEP 不够正确??我是在用软件找的OEP之后才dump的）以上是昨天尝试的经历，写的是大致流程（好象还是很罗嗦了点）,请fly 或者forgot,有空指点一下。 (刚学习，很多东西搅一起了，有点迷糊。。。。呵呵) thanks! ps:刚看到你们的5个小“作业”，也没想到武汉的朋友这么多，嘎嘎！偶要加油追上来了。。。嘿嘿。。。 2004-12-27 15:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼 1、不要过分信赖PEiD 2、不少AsPrtect使用了SDK 3、AsPrtect V1.23RC4（含）以上版本是比较麻烦的 2004-12-27 15:35 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 8 楼问题的关键是否还是在OEP上？还是OEP是准确的，在修复之后，需要追类似findfirstfilea? 2004-12-27 15:48 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼你看一下论坛精华内AsPrtect程序的脱壳 2004-12-27 15:49 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 10 楼好吧，我是看你的，小虾和另外一个的3篇看的，呵呵我再看看。如果有需要，请指点一下 2004-12-27 15:50 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 11 楼 knpc兄弟上面那段脱壳俺能看懂，真的感觉很高兴 2004-12-27 16:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼 U can try to use LordPE to add space in headers for new section. 2004-12-26 14:56 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 3 楼 use winhex? 追加0 然后修复PE头吗？我觉得很奇怪，以前使用IMCREC没遇上这样的问题，呵呵 thank 2004-12-26 16:07 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼也可以直接放在原来的壳数据部分 2004-12-26 17:28 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 5 楼 thanks 2位。计算器也搞定了。不过好象还是差点什么。(感觉侥幸了点呵呵) 一补进去，重建PE就正常了（没遇上函数出错需要手动追修改成正确函数的那个情况）追加块进去要写PE头，回头又看了会PE构造，真是解密回来，最后还是要讨论这个。。。有问题会再请教的。。。。thank! 2004-12-27 11:29 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 6 楼 : 》昨天把记事本和计算器上成功干掉了，今天找了个新目标,我是这样做的，请帮我检查一下有什么不对的地方。 1. 查OEP。使用 PEID 0.92汉化版(06062004)那个，提示aspro版本1.2x-1.3x,顺利得到OEP 004d0281 2. 使用superbpm+trw2k 载入： (问题来了，这次不象记事本那样，直接g 004010cc就到了。它停留在一个陌生的地方？014?????) 我继续输入g 004d0281 2次后，成功断下，然后挂起使用lordpe,dump all.得到dump.exe 文件 (事后我估计主要问题大概还是在这里). 3. 运行加壳程序,打开IMCREC，输入OEP减去基址(004d0281-00400000)写上入口点，点autosearch，get imports,发现2个函数类是NO，用show invalid打开后，使用level1修复，有2个修复不了，使用asprotect1.2x修复， all yes. :-) 点 FIX dump.exe 完毕。得到 dump_.exe 4. 这个文件不能运行，报错信息是某块处无效指令。使用superbpm+trw2k追 dump_.exe. （载入后就停留在004d0281处，显示全是问号，按一下f10后，就会有数据了）. F10单步运行，发现一个关键CALL 01560000后出错，F8跟进,发现全是? 原来是缺少数据。记下了关键call进入后的地址。01560000 准备去加壳软件里偷出来 :) 5.superbpm+trw2k载入加壳软件。先go 004d0281处，(很奇怪，中途停留在一个地方),然后同样F10单步跟进，到关键CALL 01560000时候F8进入,输入d 01560000 会看见数据，使用alt+up alt+down,得到这一块数据的前后地址，(01560000---01561000) . 用w 01560000 01561000 new.bin获得这一块数据 ,保存文件为new.bin 6.使用winhex将new.bin追加到dump_.exe末尾. 7.使用lordPE载入，点sections然后追加新块, 原始地址写上01560000-00400000=01160000,原始尺寸和虚拟尺寸都是1000,flags修改成c0000040,保存。在OPTIONs的Rubuilder里，只选上status windows和 validate PE,Rebuild PE完成. 8.superbpm+trw2k载入dunp_.exe跟踪运行，载入后停留在004d0281处，F10运行到关键call 01560000， F8跟进，全是问号？！？！试着F10运行一下，呵呵，数据全有了。。。。自此，程序修复块丢失问题解决，可是。。。。运行下去，没了任何反映。。。(估计还是缺少东西？！) 回头追上壳软件到关键call里面后，需要使用在追OEP(004d0281)时停下的那个地址014???附近以前的那些数据。我就在想，是否我的OEP 不够正确??我是在用软件找的OEP之后才dump的）以上是昨天尝试的经历，写的是大致流程（好象还是很罗嗦了点）,请fly 或者forgot,有空指点一下。 (刚学习，很多东西搅一起了，有点迷糊。。。。呵呵) thanks! ps:刚看到你们的5个小“作业”，也没想到武汉的朋友这么多，嘎嘎！偶要加油追上来了。。。嘿嘿。。。 2004-12-27 15:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼 1、不要过分信赖PEiD 2、不少AsPrtect使用了SDK 3、AsPrtect V1.23RC4（含）以上版本是比较麻烦的 2004-12-27 15:35 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 8 楼问题的关键是否还是在OEP上？还是OEP是准确的，在修复之后，需要追类似findfirstfilea? 2004-12-27 15:48 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼你看一下论坛精华内AsPrtect程序的脱壳 2004-12-27 15:49 0
knpc 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	knpc 10 楼好吧，我是看你的，小虾和另外一个的3篇看的，呵呵我再看看。如果有需要，请指点一下 2004-12-27 15:50 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 11 楼 knpc兄弟上面那段脱壳俺能看懂，真的感觉很高兴 2004-12-27 16:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复