[求助]求助各位大牛当脱壳需要补区段时遇到低于0040000的低地址时怎么处理？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 2 楼提前申请内存，占坑。。。 2009-10-7 22:15 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 3 楼同意LS的意见 2009-10-7 23:28 0
psdx 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	psdx 4 楼楼上的2位太高杆了，逻辑上能理解，技术上本人还没能力实验哈，mark一下 2009-11-5 11:16 0
jxx_gt 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 77 粉丝 1 关注私信	jxx_gt 5 楼以前有人用脚本提前把低于0040000的地址全部申请完 2009-11-12 17:53 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 6 楼 data: var cbase var csize var dllimg var dllsize var loadlib var mem var getprocadd var gatprocadd_2 var tmp var temp var tmppn var tmpdir var tmpefn var vbflag //基础数据，这些数据在脚本中要用到。 gmi eip,CODEBASE //获得目标程序的代码段地址 mov cbase,$RESULT bphws cbase,"w" gmemi eip,MEMORYBASE //壳段的基地址 mov dllimg,$RESULT log dllimg gmemi eip,MEMORYSIZE //壳段的长度 mov dllsize,$RESULT log dllsize gpi PROCESSNAME //目标程序名称 mov tmppn, $RESULT gpi CURRENTDIR //目标程序路径 mov tmpdir, $RESULT GPI EXEFILENAME //包含路径的程序名 mov tmpefn, $RESULT gmi eip,MODULEBASE //模块基地址 mov modbase,$RESULT sub modbase,10000 //如果需要补区段修复，请使用下面的代码把低于模块段的地址全部申请掉，防止//themida使用低地址内存。不需要的可以注释掉，这段代码来自okdodo： allocloop0: alloc 1000 //申请大小自己改 mov mem, $RESULT cmp mem,modbase log mem jne allocloop0 msg "ok了,不要在申请了" ret 2009-11-13 16:37 0
laodie 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	laodie 7 楼停留，站坑看帖 2009-11-15 15:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 2 楼提前申请内存，占坑。。。 2009-10-7 22:15 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 3 楼同意LS的意见 2009-10-7 23:28 0
psdx 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	psdx 4 楼楼上的2位太高杆了，逻辑上能理解，技术上本人还没能力实验哈，mark一下 2009-11-5 11:16 0
jxx_gt 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 77 粉丝 1 关注私信	jxx_gt 5 楼以前有人用脚本提前把低于0040000的地址全部申请完 2009-11-12 17:53 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 6 楼 data: var cbase var csize var dllimg var dllsize var loadlib var mem var getprocadd var gatprocadd_2 var tmp var temp var tmppn var tmpdir var tmpefn var vbflag //基础数据，这些数据在脚本中要用到。 gmi eip,CODEBASE //获得目标程序的代码段地址 mov cbase,$RESULT bphws cbase,"w" gmemi eip,MEMORYBASE //壳段的基地址 mov dllimg,$RESULT log dllimg gmemi eip,MEMORYSIZE //壳段的长度 mov dllsize,$RESULT log dllsize gpi PROCESSNAME //目标程序名称 mov tmppn, $RESULT gpi CURRENTDIR //目标程序路径 mov tmpdir, $RESULT GPI EXEFILENAME //包含路径的程序名 mov tmpefn, $RESULT gmi eip,MODULEBASE //模块基地址 mov modbase,$RESULT sub modbase,10000 //如果需要补区段修复，请使用下面的代码把低于模块段的地址全部申请掉，防止//themida使用低地址内存。不需要的可以注释掉，这段代码来自okdodo： allocloop0: alloc 1000 //申请大小自己改 mov mem, $RESULT cmp mem,modbase log mem jne allocloop0 msg "ok了,不要在申请了" ret 2009-11-13 16:37 0
laodie 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	laodie 7 楼停留，站坑看帖 2009-11-15 15:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复