能力值:
( LV2,RANK:10 )
2 楼
提前申请内存,占坑。。。
能力值:
( LV4,RANK:50 )
3 楼
同意LS的意见
能力值:
( LV2,RANK:10 )
4 楼
楼上的2位太高杆了,逻辑上能理解,技术上本人还没能力实验哈,mark一下
能力值:
( LV2,RANK:10 )
5 楼
以前有人用脚本提前把低于0040000的地址全部申请完
能力值:
( LV2,RANK:10 )
6 楼
data:
var cbase
var csize
var dllimg
var dllsize
var loadlib
var mem
var getprocadd
var gatprocadd_2
var tmp
var temp
var tmppn
var tmpdir
var tmpefn
var vbflag
//基础数据,这些数据在脚本中要用到。
gmi eip,CODEBASE //获得目标程序的代码段地址
mov cbase,$RESULT
bphws cbase,"w"
gmemi eip,MEMORYBASE //壳段的基地址
mov dllimg,$RESULT
log dllimg
gmemi eip,MEMORYSIZE //壳段的长度
mov dllsize,$RESULT
log dllsize
gpi PROCESSNAME //目标程序名称
mov tmppn, $RESULT
gpi CURRENTDIR //目标程序路径
mov tmpdir, $RESULT
GPI EXEFILENAME //包含路径的程序名
mov tmpefn, $RESULT
gmi eip,MODULEBASE //模块基地址
mov modbase,$RESULT
sub modbase,10000
//如果需要补区段修复,请使用下面的代码把低于模块段的地址全部申请掉,防止//themida使用低地址内存。不需要的可以注释掉,这段代码来自okdodo:
allocloop0:
alloc 1000 //申请大小自己改
mov mem, $RESULT
cmp mem,modbase
log mem
jne allocloop0
msg "ok了,不要在申请了"
ret
能力值:
( LV2,RANK:10 )
7 楼
停留,站坑看帖