-
-
[求助]轻松速脱EncryptPE1.0加壳的记事本之疑问
-
发表于:
2005-1-8 00:16
3742
-
[求助]轻松速脱EncryptPE1.0加壳的记事本之疑问
【破解分析】
用fly的修改版载入(没有修改版也没关系,添加“同时忽略0EEDFADE、C0000008、009B25C、00953D74”异常,就行了。否则会很难看的),忽略所有异常,再用IsDebugPresent插件隐藏一下!
0040D000 > 60 pushad //停在这里,F8单步运行二步。
0040D001 9C pushfd
0040D002 64:FF35 0000000>push dword ptr fs:[0] //到这里esp=0012ffa0 ,在命令行下:hr 0012ffa0 F9运行。
我执行到这里时,就跑到
77E5B332 k>- E9 6D5CFEFF jmp kernel32.77E40FA4
77E5B337 53 push ebx
77E5B338 57 push edi
77E5B339 8B7D 0C mov edi,dword ptr ss:[ebp+C]
77E5B33C BB FFFF0000 mov ebx,0FFFF
77E5B341 3BFB cmp edi,ebx
77E5B343 ^ 0F86 894BFFFF jbe kernel32.77E4FED2
请问哪里出错了?
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!