能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
loveboom写过用脚本修复的方法吧?
|
能力值:
( LV9,RANK:810 )
|
-
-
3 楼
还看不懂,不过,凭蛮力可以拿下来,想得差不多了。
就是今天事多,无法静心分析。
|
能力值:
( LV8,RANK:130 )
|
-
-
4 楼
其实我觉得吧~
pe头的处理完全可以不管他,用原文件的pe头就好了,又不是像morphine那样。
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
最初由 Lenus 发布 其实我觉得吧~ pe头的处理完全可以不管他,用原文件的pe头就好了,又不是像morphine那样。
误会。。。
|
能力值:
( LV9,RANK:810 )
|
-
-
6 楼
不调试不知道厉害,====
|
能力值:
( LV8,RANK:130 )
|
-
-
7 楼
最初由 jdpack 发布
误会。。。
何解?
|
能力值:
( LV9,RANK:810 )
|
-
-
8 楼
:( Win2k下修复一夜,勉强搞定,除了打开菜单这个功能不小心没修复
实在是变态啊,外壳不允许增加区段,还有病毒校验,只好利用壳中的间隙,重定位快把我搞疯,还好用Winhex省了不少事
就是
代码-PE头-代码
换为
代码重定位-壳重定位-代码重定位
最后发现不能跨平台,壳中的IAT是随机的,脱出来没效果,二哥再次受打击,一病不起,附一个unpackme+fix.exe
真是失败.
附件:NOTEPAD21.rar
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
最初由 David 发布 :(
Win2k下修复一夜,勉强搞定,除了打开菜单这个功能不小心没修复
........
活的办法也是可以加区段的.:D
PUSHAD
PUSH 40
PUSH 2000
PUSH 10000 //大小
PUSH 0 //随机看看哪个内存地址允许申请你要求的这个内存
CALL kernel32.VirtualAlloc
PUSH 4
PUSH 1000
PUSH 10000 //大小
PUSH 0 //随机地址.最好是根据上面得到允许申请的地址之后填入这里
CALL kernel32.VirtualAlloc
POPAD
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
i managed to unpack the notepad but left 1 place dun know how to fix
004018F1 .- E9 15EBFFFF JMP UnpackMe.0040040B <--- this place
004018F6 14 DB 14
0040040B - E9 F95400FD JMP FD405909 <--the code jump here
00400410 49 DEC ECX
but after checking the original file i get this code
004018F1 . \E9134000 DD dumped_.004013E9 <---correct code
004018F5 . FF144000 DD dumped_.004014FF
no idea how to get that....
附件:dumped_.rar
|
能力值:
( LV9,RANK:810 )
|
-
-
11 楼
最初由 stephenteh 发布 i managed to unpack the notepad but left 1 place dun know how to fix
004018F1 .- E9 15EBFFFF JMP UnpackMe.0040040B <--- this place 004018F6 14 DB 14
........
:p 和我一样没解决壳中iat跨平台问题.
|
能力值:
( LV9,RANK:810 )
|
-
-
12 楼
最初由 辉仔Yock 发布
活的办法也是可以加区段的.:D
PUSHAD ........
无特别意思,壳的部分空间刚好利用,而且重定位方便批量修改.
|
能力值:
( LV9,RANK:810 )
|
-
-
13 楼
To辉仔
有效的4xxxxx-600000都被pespin申请了,极度bt
我怎么也无法申请到一个有效的高位地址,什么原因啊.
|
能力值:
( LV9,RANK:3410 )
|
-
-
14 楼
PESPin V1.0 我不是N久以前就放过一个UnPacked ?
论坛里应该还能找到
|
能力值:
( LV8,RANK:130 )
|
-
-
15 楼
最初由 David 发布 To辉仔
有效的4xxxxx-600000都被pespin申请了,极度bt
我怎么也无法申请到一个有效的高位地址,什么原因啊.
再往上面找找,应该还能找到CF0000的地址,属性为free:D
|
能力值:
( LV9,RANK:2130 )
|
-
-
16 楼
:D
从头到尾了,还用说吗/?方法有N种,你可以用壳的那段空间,你也可以用脚本完全修复,你也可以自己加段的方式.快到oep的地方直接修改一下就行了.
关于IAT的处理我也写过了,壳并没有真正的把IAT抹掉,好像是改成EA..jmp表的方式,具体如果不明白你自己去对照一下吧
|
能力值:
( LV9,RANK:1210 )
|
-
-
17 楼
对不起是我轻敌了。
附件中的Unpackme有问题? 选文件|打开异常。
这个壳的replaced code有些麻烦,用脚本
感觉不大方便了,干脆写个程序来做。:(
|
能力值:
( LV9,RANK:810 )
|
-
-
18 楼
最初由 Lenus 发布
再往上面找找,应该还能找到CF0000的地址,属性为free:D
我填入了address值为没有使用的内存值,alt+f9怎么也无法让eax不是0,即是失败。
|
能力值:
( LV9,RANK:810 )
|
-
-
19 楼
最初由 softworm 发布 对不起是我轻敌了。
附件中的Unpackme有问题? 选文件|打开异常。
这个壳的replaced code有些麻烦,用脚本 ........
好像加壳的记事本打开就是错的,bug.自己用pespin加密试试,这个文件部分被我写入了脱壳代码 。
|
能力值:
( LV9,RANK:810 )
|
-
-
20 楼
最初由 softworm 发布 对不起是我轻敌了。
附件中的Unpackme有问题? 选文件|打开异常。
这个壳的replaced code有些麻烦,用脚本 ........
脚本我不会,我是用winhex修改的。
累死了。
|
能力值:
( LV6,RANK:90 )
|
-
-
21 楼
|
能力值:
( LV9,RANK:1210 )
|
-
-
22 楼
最初由 David 发布
好像加壳的记事本打开就是错的,bug.自己用pespin加密试试,这个文件部分被我写入了脱壳代码 。
我晕。不想重新加了,就用这个吧。
我上次没看清楚,jmp到pe头
的代码不能简单copy回来,数据
的bytes数也不定。另外,我
现在的脚本没有修复
mov esi,api
call esi
这种类型的replaced code
(仍旧call到壳内IAT了) 脚本编起程序来有点不好用,
我打算放弃了,用VC写,用ReadProcessMemory
读出来修复。还需要点时间。:)
|
能力值:
( LV9,RANK:810 )
|
-
-
23 楼
直接pe头二进复制经常损坏pe文件 。
|
能力值:
( LV9,RANK:810 )
|
-
-
24 楼
:( 不懂编程的人怎么办,
|
能力值:
( LV6,RANK:90 )
|
-
-
25 楼
只好
|
|
|