能力值:
(RANK:1060 )
|
-
-
2 楼
U can try to use LordPE to add space in headers for new section.
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
use winhex? 追加0 然后修复PE头吗?
我觉得很奇怪,以前使用IMCREC没遇上这样的问题,呵呵
thank
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
也可以直接放在原来的壳数据部分
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
thanks 2位。 计算器也搞定了。
不过好象还是差点什么。(感觉侥幸了点呵呵)
一补进去,重建PE就正常了
(没遇上函数出错需要手动追修改成正确函数的那个情况)
追加块进去要写PE头,回头又看了会PE构造,真是解密回来,最后还是要讨论这个。。。
有问题会再请教的。。。。thank!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
: 》 昨天把记事本和计算器上成功干掉了,今天找了个新目标,我是这样做的,请帮我检查
一下有什么不对的地方。
1. 查OEP。 使用 PEID 0.92汉化版(06062004)那个,提示aspro版本1.2x-1.3x,顺利得到OEP
004d0281
2. 使用superbpm+trw2k 载入:
(问题来了,这次不象记事本那样,直接g 004010cc就到了。它停留在一个陌生的地方?014?????)
我继续输入g 004d0281 2次后,成功断下,然后挂起使用lordpe,dump all.得到dump.exe 文件
(事后我估计主要问题大概还是在这里).
3. 运行加壳程序,打开IMCREC,输入OEP减去基址(004d0281-00400000)写上入口点,
点autosearch,get imports,发现2个函数类是NO,用show invalid打开后,使用level1修
复,有2个修复不了,使用asprotect1.2x修复, all yes. :-) 点 FIX dump.exe 完毕。
得到 dump_.exe
4. 这个文件不能运行,报错信息是某块处无效指令。 使用superbpm+trw2k追 dump_.exe.
(载入后就停留在004d0281处,显示全是问号,按一下f10后,就会有数据了).
F10单步运行,发现一个关键CALL 01560000后出错,F8跟进,发现全是? 原来是缺少数据。
记下了关键call进入后的地址。01560000 准备去加壳软件里偷出来 :)
5.superbpm+trw2k载入加壳软件。先go 004d0281处,(很奇怪,中途停留在一个地方),然后同样F10单
步跟进,到关键CALL 01560000时候F8进入,输入d 01560000 会看见数据,使用alt+up alt+down,得到
这一块数据的前后地址,(01560000---01561000) . 用w 01560000 01561000 new.bin获得这一块数据
,保存文件为new.bin
6.使用winhex将new.bin追加到dump_.exe末尾.
7.使用lordPE载入,点sections然后追加新块, 原始地址写上01560000-00400000=01160000,原始尺寸
和虚拟尺寸都是1000,flags修改成c0000040,保存。 在OPTIONs的Rubuilder里,只选上status windows和
validate PE,Rebuild PE完成.
8.superbpm+trw2k载入dunp_.exe跟踪运行,载入后停留在004d0281处,F10运行到关键call 01560000,
F8跟进,全是问号?!?! 试着F10运行一下,呵呵,数据全有了。。。。
自此,程序修复块丢失问题解决,可是。。。。运行下去,没了任何反映。。。(估计还是缺少东西?!)
回头追上壳软件到关键call里面后,需要使用在追OEP(004d0281)时停下的那个地址014???附近以前的那些数据。我就在想,是否我的OEP
不够正确??我是在用软件找的OEP之后才dump的)
以上是昨天尝试的经历,写的是大致流程(好象还是很罗嗦了点),请fly 或者forgot,有空指点一下。
(刚学习,很多东西搅一起了,有点迷糊。。。。呵呵) thanks!
ps:刚看到你们的5个小“作业”,也没想到武汉的朋友这么多,嘎嘎!偶要加油追上来了。。。嘿嘿。。。
|
能力值:
( LV9,RANK:3410 )
|
-
-
7 楼
1、不要过分信赖PEiD
2、不少AsPrtect使用了SDK
3、AsPrtect V1.23RC4(含)以上版本是比较麻烦的
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
问题的关键是否还是在OEP上? 还是OEP是准确的,在修复之后,需要追类似findfirstfilea?
|
能力值:
( LV9,RANK:3410 )
|
-
-
9 楼
你看一下论坛精华内AsPrtect程序的脱壳
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
好吧,我是看你的,小虾 和另外一个的3篇看的,呵呵
我再看看。如果有需要,请指点一下
|
能力值:
( LV13,RANK:970 )
|
-
-
11 楼
knpc兄弟上面那段脱壳俺能看懂,真的感觉很高兴
|
|
|