[求助]代码被混淆（Module "' contains multiple module definitions.）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 2 楼有加壳的，无能为力，等高手 2010-7-19 10:05 0
adomore 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 481 粉丝 0 关注私信	adomore 3 楼估计又是MaxToCode的壳，放弃吧！我研究很久了！ 2010-7-19 12:17 0
benteng 雪币： 172 活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 56 粉丝 0 关注私信	benteng 4 楼恩，确实是用Maxtocode加的壳。为什么要放弃呢，今天研究不出来我们可以明天，明天不行还有后天。所有的问题，只要想办法肯定可以解决。 2010-7-19 12:37 0
hezhichun 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	hezhichun 5 楼楼上的　好几年了　没见着有弄出来并开放的 2010-7-20 11:38 0
adomore 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 481 粉丝 0 关注私信	adomore 6 楼兄弟，你知道MaxToCode的更新速度有多快么？Re-Max的最新版也失效了，要是可以破解，我再把那个NET的程序破解了！ 2010-7-20 19:11 0
opensrc 雪币： 160 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	opensrc 1 7 楼支持楼主，精神可嘉靖！其实楼主离在Reflector中看到它已经不远了。大致看了一下，要看到它，大约有几点要改： CFF Explorer打开看 1、Nt头下Optional Header下的NumberOfRvaAndSizes的Value应该为10而不是0xf,这样.net MetaData Directorv才会出来，也才能找到元数据。 2、MetaData Streams最后多出一个#GUID,通过修改MetaData Header的NumberOfStreams为5,去掉它。 3、你说的#GUID的Size原0x28,改0x10; 4、文件偏移0xfc49处多出一个Module数据：0000 002F 0011 0000 0000十字节,去掉它。为不影响PE结构（大小，偏移），我们在#~尾部补上十个字节。 a、先找一下流尾，在MethodSpec表的最后一条记录"4": 006D 0791，文件偏移为0x12134。在这里我们找到006D 0791 在这后面加上0000 0000 0000 0000 0000下字节. b、干掉0xtc49处的那十个字节，这样PE结构没变化了。 c、最后，在Tables Header的MaskSorted掩码后面,这个掩码在文件偏移0xFBD0处：长度为八字节,值为000002003301FA00找到它，它后面是不是有个Module的数量为2啊？好了，改为1。现在，可以用来看一下了，只是看看，夜黑，路还长！ 2010-7-21 15:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
atrm 雪币： 83 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 272 粉丝 0 关注私信	atrm 2 楼有加壳的，无能为力，等高手 2010-7-19 10:05 0
adomore 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 481 粉丝 0 关注私信	adomore 3 楼估计又是MaxToCode的壳，放弃吧！我研究很久了！ 2010-7-19 12:17 0
benteng 雪币： 172 活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 56 粉丝 0 关注私信	benteng 4 楼恩，确实是用Maxtocode加的壳。为什么要放弃呢，今天研究不出来我们可以明天，明天不行还有后天。所有的问题，只要想办法肯定可以解决。 2010-7-19 12:37 0
hezhichun 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	hezhichun 5 楼楼上的　好几年了　没见着有弄出来并开放的 2010-7-20 11:38 0
adomore 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 481 粉丝 0 关注私信	adomore 6 楼兄弟，你知道MaxToCode的更新速度有多快么？Re-Max的最新版也失效了，要是可以破解，我再把那个NET的程序破解了！ 2010-7-20 19:11 0
opensrc 雪币： 160 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	opensrc 1 7 楼支持楼主，精神可嘉靖！其实楼主离在Reflector中看到它已经不远了。大致看了一下，要看到它，大约有几点要改： CFF Explorer打开看 1、Nt头下Optional Header下的NumberOfRvaAndSizes的Value应该为10而不是0xf,这样.net MetaData Directorv才会出来，也才能找到元数据。 2、MetaData Streams最后多出一个#GUID,通过修改MetaData Header的NumberOfStreams为5,去掉它。 3、你说的#GUID的Size原0x28,改0x10; 4、文件偏移0xfc49处多出一个Module数据：0000 002F 0011 0000 0000十字节,去掉它。为不影响PE结构（大小，偏移），我们在#~尾部补上十个字节。 a、先找一下流尾，在MethodSpec表的最后一条记录"4": 006D 0791，文件偏移为0x12134。在这里我们找到006D 0791 在这后面加上0000 0000 0000 0000 0000下字节. b、干掉0xtc49处的那十个字节，这样PE结构没变化了。 c、最后，在Tables Header的MaskSorted掩码后面,这个掩码在文件偏移0xFBD0处：长度为八字节,值为000002003301FA00找到它，它后面是不是有个Module的数量为2啊？好了，改为1。现在，可以用来看一下了，只是看看，夜黑，路还长！ 2010-7-21 15:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复