[脚本+补区段]-ASProtect 2.1x SKE-文件夹保护 2006 2.10-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[脚本+补区段]-ASProtect 2.1x SKE-文件夹保护 2006 2.10

发表于: 2006-6-12 07:55 21975

[脚本+补区段]-ASProtect 2.1x SKE-文件夹保护 2006 2.10

cyto

2006-6-12 07:55

21975

查看主题内容

收藏・7

免费・7

支持

最新回复 (68) ◀ 1 2 3 ▶
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 26 楼【求助】我的地址 012F02EC 6A 74 push 74 ; 00040E8BD 012F0466 E8 95FB0700 call 01370000 0137015A 35 208A1101 xor eax,1118A20 0137015F 2BCE sub ecx,esi 01370161 2BCD sub ecx,ebp 01370163 FFD1 call ecx 01370165 68 4EE94400 push 44E94E cyto的地址: 017002EC 6A 74 push 74 ; 00040E8BD 01700466 E8 95FB0700 call 01780000 0178015A FFD3 call ebx ; ebx=014D8A20 到了XXX15A这里不一样了.怎么办?(跟不下去了. ) 感谢cyto回答...继续学习. 2006-6-20 15:51 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 27 楼最初由 whale* 发布* 【求助】我的地址 [CODE]012F02EC 6A 74 push 74 ; 00040E8BD 012F0466 E8 95FB0700 call 01370000 ........ 伪OEP及变形代码在不同机子上不一样。不要根据前面的代码找，最笨的方法就是遇call就跟进，跟多了就发现了路。或者对全部区段下断的方法。 2006-6-20 16:00 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 28 楼用到如下区段：解码用：014B0000－01500000 请问这个区段是如何确定的? 了解了.多谢哈. 2006-6-20 16:27 0
sea雪龙why 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	sea雪龙why 29 楼学习中,谢谢楼主了啊 2006-6-20 17:13 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 30 楼谢谢楼主，支持并学习！ 2006-6-20 17:19 0
xiaoboy 雪币： 224 活跃值： (90) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 31 楼最初由鸡蛋壳* 发布* 很简单，到达入口后，在每个可疑内存区段下访问断点，一路F9下去，没有断点的内存区段自然就是必须的VM区段了。一语道破 2006-6-20 18:52 0
zzypan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zzypan 32 楼正好需要这个，呵 2006-6-22 12:51 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 33 楼最初由 xiaoboy* 发布* 一语道破假如全在内存下断点的话.这些代码是否还要参考? 017002EC 6A 74 push 74 ; 00040E8BD 01700466 E8 95FB0700 call 01780000 0178015A FFD3 call ebx ; ebx=014D8A20 014D8A69 FFD0 call eax ; eax=016D0000 014D8AAF E8 D4FDFFFF call 014D8888 014D89EB - FF60 20 jmp dword ptr ds:[eax+20] ; ds:[01510E48]=01790000 017900AD - FF6424 FC jmp dword ptr ss:[esp-4] ; 堆栈 ss:[0012FF4C]=01700A9B PS:留个下载页面 eacK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2*7i4K6u0W2z5e0b7^5z5o6S2Q4x3X3g2F1k6i4c8Q4x3V1k6Q4x3U0g2q4z5q4)9J5y4f1u0p5i4K6t1#2b7f1k6Q4x3U0g2q4y4q4)9J5y4f1u0n7i4K6t1#2b7U0k6Q4x3U0g2q4y4q4)9J5y4f1t1^5i4K6t1#2z5p5u0Q4x3U0g2q4z5q4)9J5y4f1u0p5i4K6t1#2b7V1c8Q4x3V1j5@1z5e0R3J5y4W2)9J5c8R3`.`. 2006-6-23 17:36 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 34 楼最初由 whale* 发布* 假如全在内存下断点的话.这些代码是否还要参考? [CODE]017002EC 6A 74 push 74 ; 00040E8BD 01700466 E8 95FB0700 call 01780000 0178015A FFD3 call ebx ; ebx=014D8A20 ........ 不用了。 2006-6-23 19:44 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 35 楼再问一下细节上的问题:导出区段 Region010F0000-01133000.dmp 导入后如图: 这不够400000.怎么办?[IMG] 原来如此。（原以为在现在的地址－400000呢，感谢cyto耐心解答）上传的附件： snap2.jpg （26.19kb，24次下载） 2006-6-23 20:44 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 36 楼我这里刚好有一个东西用此补区段法不能够完成楼主可否试试？ 34dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1I4z5g2)9J5k6e0p5K6y4q4)9J5k6e0p5J5z5q4)9J5k6e0f1$3i4K6u0r3j5$3N6A6i4K6u0V1j5X3W2F1i4K6u0r3k6r3I4Q4x3V1j5#2x3@1y4m8y4f1p5%4y4@1j5I4y4o6p5@1y4e0g2n7z5o6k6o6y4@1p5H3x3f1c8m8x3e0m8n7y4e0V1I4y4e0M7@1c8U0R3H3x3U0R3K6y4o6M7@1x3f1j5K6y4U0N6q4x3f1x3J5c8e0l9#2c8U0f1&6y4f1x3J5y4e0g2r3x3o6N6p5y4U0b7#2z5o6j5^5y4K6y4o6x3e0g2q4c8V1f1^5z5p5b7@1b7f1u0q4b7K6M7I4y4K6j5@1c8e0q4n7b7@1p5%4x3K6V1$3x3p5b7^5c8e0l9$3x3o6g2o6x3o6u0n7x3f1c8r3y4U0q4m8x3o6j5^5y4U0S2p5y4K6p5&6b7K6W2r3x3K6u0r3y4@1b7^5c8p5q4m8z5e0V1#2z5o6g2n7x3K6y4p5b7K6S2p5c8p5x3%4y4f1t1K6z5o6t1%4x3K6p5@1b7U0q4r3x3K6f1$3b7V1f1^5b7V1b7I4c8U0k6Q4x3V1j5I4x3U0y4Q4x3X3g2J5j5i4t1`. 2006-6-24 01:52 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 37 楼最初由 whale* 发布* 再问一下细节上的问题:导出区段 Region010F0000-01133000.dmp 导入后如图: 这不够400000.怎么办?[IMG] 比如是导入010F0000，那么把00188000修改成010F0000－400000＝00CF0000 2006-6-24 07:24 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 38 楼感谢cyto耐心解答终于跟下脱完啦。最后只是不晓得为何要这么改，能简单说明下么？ 014D8A66 3E:8B4424 58 mov eax,dword ptr ds:[esp+58] // 修改处 014D8A6B 90 nop 014D8A6C 83E8 05 sub eax,5 014D8A6F 90 nop 014D8A70 90 nop // 修改处 2006-6-25 07:14 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 39 楼最初由 whale* 发布* 感谢cyto耐心解答终于跟下脱完啦。最后只是不晓得为何要这么改，能简单说明下么？ [CODE]014D8A66 3E:8B4424 58 mov eax,dword ptr ds:[esp+58] // 修改处 ........ 这个参考SYSCOM的大作。以下引用： ////////////////////////////////////////////////////////////////////////////////////////////// Route CHECK,算是壳的自我检查，它是由 A,B 两数值,作互减运算。 A=GetCurrentThreadID B=CALL Route Address 运算后 ... B=B-A 当你脱壳之后,B=会发生错误 ERROR 111 ，所以我们只要,抓出正确的 CALL Route Address，就可以通过 CHECK SUM ,也就是在 [ESP+58],的 STACK 位址。所以我们使用 MOV EAX,[ESP+58] ,来还原 B 值 +5 后修正 B 值 Address 9F70CE-MOV EAX,[EAX+34] 9F70D1-CALL EAX => GetCurrentThreadID 9FD0D3-SUB [EBP+C],EAX => B=B-A 9FD0D6-MOV EAX,[ENP+C] ////////////////////////////////////////////////////////////////////////////////////////////// 我跟踪后的理解： [ESP+58]的值－5刚好＝B－A 2006-6-25 08:25 0
kmjyq 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 123 粉丝 0 关注私信	kmjyq 40 楼最初由 chinadev* 发布* 我这里刚好有一个东西用此补区段法不能够完成楼主可否试试？ a2fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1I4z5g2)9J5k6e0p5K6y4q4)9J5k6e0p5J5z5q4)9J5k6e0f1$3i4K6u0r3j5$3N6A6i4K6u0V1j5X3W2F1i4K6u0r3k6r3I4Q4x3V1j5#2x3@1y4m8y4f1p5%4y4@1j5I4y4o6p5@1y4e0g2n7z5o6k6o6y4@1p5H3x3f1c8m8x3e0m8n7y4e0V1I4y4e0M7@1c8U0R3H3x3U0R3K6y4o6M7@1x3f1j5K6y4U0N6q4x3f1x3J5c8e0l9#2c8U0f1&6y4f1x3J5y4e0g2r3x3o6N6p5y4U0b7#2z5o6j5^5y4K6y4o6x3e0g2q4c8V1f1^5z5p5b7@1b7f1u0q4b7K6M7I4y4K6j5@1c8e0q4n7b7@1p5%4x3K6V1$3x3p5b7^5c8e0l9$3x3o6g2o6x3o6u0n7x3f1c8r3y4U0q4m8x3o6j5^5y4U0S2p5y4K6p5&6b7K6W2r3x3K6u0r3y4@1b7^5c8p5q4m8z5e0V1#2z5o6g2n7x3K6y4p5b7K6S2p5c8p5x3%4y4f1t1K6z5o6t1%4x3K6p5@1b7U0q4r3x3K6f1$3b7V1f1^5b7V1b7I4c8U0k6Q4x3V1j5I4x3U0y4Q4x3X3g2J5j5i4t1`. 脱这个时脚本自动建了个SCafAPI.BIN的文件,,这个文件要怎么处理 2006-6-25 11:07 0
飞扬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞扬 41 楼支持一下！！！ 2006-6-25 11:31 0
rxzyy 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	rxzyy 42 楼支持支持!!!! 2006-6-25 12:24 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 43 楼最初由 kmjyq* 发布* 脱这个时脚本自动建了个SCafAPI.BIN的文件,,这个文件要怎么处理运行脚本插件,RESUME,一直到伪OEP或OEP. 2006-6-25 14:39 0
闲云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	闲云 44 楼好贴学习中....... 2006-6-26 10:18 0
tarvan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tarvan 45 楼最初由 cyto* 发布* 这个不一样是正常的，我还碰到连伪OEP都不一样的，而且变形代码也都不一样，估计壳运行申请空间不可能在不一样的机器上得到一样的地址吧？但是照样可以补区段搞定。 linex很久以前搞的那个IconXP，还有 machenglin 做掉的ccproject，我都试着搞定了，伪OEP都不一样，变形代码也几乎不同，但原理是一样的。从伪OEP一步步跟下，见call就进，我就是这样跟了n次后就明白了要补的区段。我所列出的需要补区段的那几行代码就是我认为关键的地方。好复杂啊。。。。 2006-6-26 19:38 0
bzkbzk 雪币： 168 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	bzkbzk 46 楼谢谢楼主，强悍阿~ 这个壳子我一直搞不定 2006-6-26 21:40 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 47 楼再问个细节问题。是不是load区段时一定要按顺序的？ Region010F0000-01133000.dmp Region012C0000-012C1000.dmp Region012F0000-012F3000.dmp Region014B0000-014B2000.dmp Region01140000-01154000.dmp Region01370000-01371000.dmp Region01380000-01381000.dmp (全下内存访问断点后有这些中止过) dump这样load区段可以么？ 2006-6-27 21:13 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 48 楼最初由 whale* 发布* 再问个细节问题。是不是load区段时一定要按顺序的？ Region010F0000-01133000.dmp Region012C0000-012C1000.dmp Region012F0000-012F3000.dmp Region014B0000-014B2000.dmp ........ 我是按顺序来的。不按顺序Rebuild PE如何搞？ 2006-6-27 22:20 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 49 楼 0137018D FFD0 call eax ; EAX=01118A20，CALL Route Address=01118A20? 0137018F 64:FF35 0000000>push dword ptr fs:[0] 01370196 83E8 4D sub eax,4D 01370199 B8 12464200 mov eax,dumped_.00424612 0137019E 58 pop eax 0137019F C8 001901 enter 1900,1 013701A3 C3 retn -------------------------------------------------------------------------- 01118A20.... ............ 01118A66 8B40 34 mov eax,dword ptr ds:[eax+34] 01118A69 FFD0 call eax ; dumped_.012C0000,GetCurrentThreadID=01118A69? 01118A6B 2945 0C sub dword ptr ss:[ebp+C],eax ; B=B-A? 01118A6E 8B45 0C mov eax,dword ptr ss:[ebp+C] 01118A71 2B43 18 sub eax,dword ptr ds:[ebx+18] 01118A74 2B43 68 sub eax,dword ptr ds:[ebx+68] A=01118A20 B=01118A69 PS.不知道这俩地址找的对不对。还是不大会 B-A=49 【求助】后面不懂了。啥意思？ B=B-A? 2006-6-28 20:35 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 50 楼最初由 whale* 发布* 0137018D FFD0 call eax ; EAX=01118A20，CALL Route Address=01118A20? 0137018F 64:FF35 0000000>push dword ptr fs:[0] 01370196 83E8 4D sub eax,4D 01370199 B8 12464200 mov eax,dumped_.00424612 0137019E 58 pop eax ........ 你还是论坛搜索参考SYSCOM的文章吧。 2006-6-28 22:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cyto

发帖

624

回帖

1250

RANK

关注

私信

他的文章

[原创]-[简单的RSA]-Apex MPEG VCD DVD Converter 4.94 6880
[Asprotect]-[体验Volx 2.2脚本]-VidLogo 3.1 15778
[对称算法]-XX抠图 1.08 9444
[Asprotect]-Aston 1.92 8835
[BD][RSA+Base64]-gwyzl 5.1 8274

关于我们

联系我们

企业服务

看雪公众号

最新回复 (68) ◀ 1 2 3 ▶
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 26 楼【求助】我的地址 012F02EC 6A 74 push 74 ; 00040E8BD 012F0466 E8 95FB0700 call 01370000 0137015A 35 208A1101 xor eax,1118A20 0137015F 2BCE sub ecx,esi 01370161 2BCD sub ecx,ebp 01370163 FFD1 call ecx 01370165 68 4EE94400 push 44E94E cyto的地址: 017002EC 6A 74 push 74 ; 00040E8BD 01700466 E8 95FB0700 call 01780000 0178015A FFD3 call ebx ; ebx=014D8A20 到了XXX15A这里不一样了.怎么办?(跟不下去了. ) 感谢cyto回答...继续学习. 2006-6-20 15:51 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 27 楼最初由 whale* 发布* 【求助】我的地址 [CODE]012F02EC 6A 74 push 74 ; 00040E8BD 012F0466 E8 95FB0700 call 01370000 ........ 伪OEP及变形代码在不同机子上不一样。不要根据前面的代码找，最笨的方法就是遇call就跟进，跟多了就发现了路。或者对全部区段下断的方法。 2006-6-20 16:00 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 28 楼用到如下区段：解码用：014B0000－01500000 请问这个区段是如何确定的? 了解了.多谢哈. 2006-6-20 16:27 0
sea雪龙why 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	sea雪龙why 29 楼学习中,谢谢楼主了啊 2006-6-20 17:13 0
wzysjob 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	wzysjob 30 楼谢谢楼主，支持并学习！ 2006-6-20 17:19 0
xiaoboy 雪币： 224 活跃值： (90) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 31 楼最初由鸡蛋壳* 发布* 很简单，到达入口后，在每个可疑内存区段下访问断点，一路F9下去，没有断点的内存区段自然就是必须的VM区段了。一语道破 2006-6-20 18:52 0
zzypan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zzypan 32 楼正好需要这个，呵 2006-6-22 12:51 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 33 楼最初由 xiaoboy* 发布* 一语道破假如全在内存下断点的话.这些代码是否还要参考? 017002EC 6A 74 push 74 ; 00040E8BD 01700466 E8 95FB0700 call 01780000 0178015A FFD3 call ebx ; ebx=014D8A20 014D8A69 FFD0 call eax ; eax=016D0000 014D8AAF E8 D4FDFFFF call 014D8888 014D89EB - FF60 20 jmp dword ptr ds:[eax+20] ; ds:[01510E48]=01790000 017900AD - FF6424 FC jmp dword ptr ss:[esp-4] ; 堆栈 ss:[0012FF4C]=01700A9B PS:留个下载页面 eacK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2*7i4K6u0W2z5e0b7^5z5o6S2Q4x3X3g2F1k6i4c8Q4x3V1k6Q4x3U0g2q4z5q4)9J5y4f1u0p5i4K6t1#2b7f1k6Q4x3U0g2q4y4q4)9J5y4f1u0n7i4K6t1#2b7U0k6Q4x3U0g2q4y4q4)9J5y4f1t1^5i4K6t1#2z5p5u0Q4x3U0g2q4z5q4)9J5y4f1u0p5i4K6t1#2b7V1c8Q4x3V1j5@1z5e0R3J5y4W2)9J5c8R3`.`. 2006-6-23 17:36 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 34 楼最初由 whale* 发布* 假如全在内存下断点的话.这些代码是否还要参考? [CODE]017002EC 6A 74 push 74 ; 00040E8BD 01700466 E8 95FB0700 call 01780000 0178015A FFD3 call ebx ; ebx=014D8A20 ........ 不用了。 2006-6-23 19:44 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 35 楼再问一下细节上的问题:导出区段 Region010F0000-01133000.dmp 导入后如图: 这不够400000.怎么办?[IMG] 原来如此。（原以为在现在的地址－400000呢，感谢cyto耐心解答）上传的附件： snap2.jpg （26.19kb，24次下载） 2006-6-23 20:44 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 36 楼我这里刚好有一个东西用此补区段法不能够完成楼主可否试试？ 34dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1I4z5g2)9J5k6e0p5K6y4q4)9J5k6e0p5J5z5q4)9J5k6e0f1$3i4K6u0r3j5$3N6A6i4K6u0V1j5X3W2F1i4K6u0r3k6r3I4Q4x3V1j5#2x3@1y4m8y4f1p5%4y4@1j5I4y4o6p5@1y4e0g2n7z5o6k6o6y4@1p5H3x3f1c8m8x3e0m8n7y4e0V1I4y4e0M7@1c8U0R3H3x3U0R3K6y4o6M7@1x3f1j5K6y4U0N6q4x3f1x3J5c8e0l9#2c8U0f1&6y4f1x3J5y4e0g2r3x3o6N6p5y4U0b7#2z5o6j5^5y4K6y4o6x3e0g2q4c8V1f1^5z5p5b7@1b7f1u0q4b7K6M7I4y4K6j5@1c8e0q4n7b7@1p5%4x3K6V1$3x3p5b7^5c8e0l9$3x3o6g2o6x3o6u0n7x3f1c8r3y4U0q4m8x3o6j5^5y4U0S2p5y4K6p5&6b7K6W2r3x3K6u0r3y4@1b7^5c8p5q4m8z5e0V1#2z5o6g2n7x3K6y4p5b7K6S2p5c8p5x3%4y4f1t1K6z5o6t1%4x3K6p5@1b7U0q4r3x3K6f1$3b7V1f1^5b7V1b7I4c8U0k6Q4x3V1j5I4x3U0y4Q4x3X3g2J5j5i4t1`. 2006-6-24 01:52 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 37 楼最初由 whale* 发布* 再问一下细节上的问题:导出区段 Region010F0000-01133000.dmp 导入后如图: 这不够400000.怎么办?[IMG] 比如是导入010F0000，那么把00188000修改成010F0000－400000＝00CF0000 2006-6-24 07:24 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 38 楼感谢cyto耐心解答终于跟下脱完啦。最后只是不晓得为何要这么改，能简单说明下么？ 014D8A66 3E:8B4424 58 mov eax,dword ptr ds:[esp+58] // 修改处 014D8A6B 90 nop 014D8A6C 83E8 05 sub eax,5 014D8A6F 90 nop 014D8A70 90 nop // 修改处 2006-6-25 07:14 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 39 楼最初由 whale* 发布* 感谢cyto耐心解答终于跟下脱完啦。最后只是不晓得为何要这么改，能简单说明下么？ [CODE]014D8A66 3E:8B4424 58 mov eax,dword ptr ds:[esp+58] // 修改处 ........ 这个参考SYSCOM的大作。以下引用： ////////////////////////////////////////////////////////////////////////////////////////////// Route CHECK,算是壳的自我检查，它是由 A,B 两数值,作互减运算。 A=GetCurrentThreadID B=CALL Route Address 运算后 ... B=B-A 当你脱壳之后,B=会发生错误 ERROR 111 ，所以我们只要,抓出正确的 CALL Route Address，就可以通过 CHECK SUM ,也就是在 [ESP+58],的 STACK 位址。所以我们使用 MOV EAX,[ESP+58] ,来还原 B 值 +5 后修正 B 值 Address 9F70CE-MOV EAX,[EAX+34] 9F70D1-CALL EAX => GetCurrentThreadID 9FD0D3-SUB [EBP+C],EAX => B=B-A 9FD0D6-MOV EAX,[ENP+C] ////////////////////////////////////////////////////////////////////////////////////////////// 我跟踪后的理解： [ESP+58]的值－5刚好＝B－A 2006-6-25 08:25 0
kmjyq 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 123 粉丝 0 关注私信	kmjyq 40 楼最初由 chinadev* 发布* 我这里刚好有一个东西用此补区段法不能够完成楼主可否试试？ a2fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1I4z5g2)9J5k6e0p5K6y4q4)9J5k6e0p5J5z5q4)9J5k6e0f1$3i4K6u0r3j5$3N6A6i4K6u0V1j5X3W2F1i4K6u0r3k6r3I4Q4x3V1j5#2x3@1y4m8y4f1p5%4y4@1j5I4y4o6p5@1y4e0g2n7z5o6k6o6y4@1p5H3x3f1c8m8x3e0m8n7y4e0V1I4y4e0M7@1c8U0R3H3x3U0R3K6y4o6M7@1x3f1j5K6y4U0N6q4x3f1x3J5c8e0l9#2c8U0f1&6y4f1x3J5y4e0g2r3x3o6N6p5y4U0b7#2z5o6j5^5y4K6y4o6x3e0g2q4c8V1f1^5z5p5b7@1b7f1u0q4b7K6M7I4y4K6j5@1c8e0q4n7b7@1p5%4x3K6V1$3x3p5b7^5c8e0l9$3x3o6g2o6x3o6u0n7x3f1c8r3y4U0q4m8x3o6j5^5y4U0S2p5y4K6p5&6b7K6W2r3x3K6u0r3y4@1b7^5c8p5q4m8z5e0V1#2z5o6g2n7x3K6y4p5b7K6S2p5c8p5x3%4y4f1t1K6z5o6t1%4x3K6p5@1b7U0q4r3x3K6f1$3b7V1f1^5b7V1b7I4c8U0k6Q4x3V1j5I4x3U0y4Q4x3X3g2J5j5i4t1`. 脱这个时脚本自动建了个SCafAPI.BIN的文件,,这个文件要怎么处理 2006-6-25 11:07 0
飞扬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞扬 41 楼支持一下！！！ 2006-6-25 11:31 0
rxzyy 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	rxzyy 42 楼支持支持!!!! 2006-6-25 12:24 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 43 楼最初由 kmjyq* 发布* 脱这个时脚本自动建了个SCafAPI.BIN的文件,,这个文件要怎么处理运行脚本插件,RESUME,一直到伪OEP或OEP. 2006-6-25 14:39 0
闲云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	闲云 44 楼好贴学习中....... 2006-6-26 10:18 0
tarvan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tarvan 45 楼最初由 cyto* 发布* 这个不一样是正常的，我还碰到连伪OEP都不一样的，而且变形代码也都不一样，估计壳运行申请空间不可能在不一样的机器上得到一样的地址吧？但是照样可以补区段搞定。 linex很久以前搞的那个IconXP，还有 machenglin 做掉的ccproject，我都试着搞定了，伪OEP都不一样，变形代码也几乎不同，但原理是一样的。从伪OEP一步步跟下，见call就进，我就是这样跟了n次后就明白了要补的区段。我所列出的需要补区段的那几行代码就是我认为关键的地方。好复杂啊。。。。 2006-6-26 19:38 0
bzkbzk 雪币： 168 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	bzkbzk 46 楼谢谢楼主，强悍阿~ 这个壳子我一直搞不定 2006-6-26 21:40 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 47 楼再问个细节问题。是不是load区段时一定要按顺序的？ Region010F0000-01133000.dmp Region012C0000-012C1000.dmp Region012F0000-012F3000.dmp Region014B0000-014B2000.dmp Region01140000-01154000.dmp Region01370000-01371000.dmp Region01380000-01381000.dmp (全下内存访问断点后有这些中止过) dump这样load区段可以么？ 2006-6-27 21:13 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 48 楼最初由 whale* 发布* 再问个细节问题。是不是load区段时一定要按顺序的？ Region010F0000-01133000.dmp Region012C0000-012C1000.dmp Region012F0000-012F3000.dmp Region014B0000-014B2000.dmp ........ 我是按顺序来的。不按顺序Rebuild PE如何搞？ 2006-6-27 22:20 0
whale 雪币： 7459 活跃值： (4841) 能力值： ( LV2，RANK：15 ) 在线值：发帖 10 回帖 41 粉丝 0 关注私信	whale 49 楼 0137018D FFD0 call eax ; EAX=01118A20，CALL Route Address=01118A20? 0137018F 64:FF35 0000000>push dword ptr fs:[0] 01370196 83E8 4D sub eax,4D 01370199 B8 12464200 mov eax,dumped_.00424612 0137019E 58 pop eax 0137019F C8 001901 enter 1900,1 013701A3 C3 retn -------------------------------------------------------------------------- 01118A20.... ............ 01118A66 8B40 34 mov eax,dword ptr ds:[eax+34] 01118A69 FFD0 call eax ; dumped_.012C0000,GetCurrentThreadID=01118A69? 01118A6B 2945 0C sub dword ptr ss:[ebp+C],eax ; B=B-A? 01118A6E 8B45 0C mov eax,dword ptr ss:[ebp+C] 01118A71 2B43 18 sub eax,dword ptr ds:[ebx+18] 01118A74 2B43 68 sub eax,dword ptr ds:[ebx+68] A=01118A20 B=01118A69 PS.不知道这俩地址找的对不对。还是不大会 B-A=49 【求助】后面不懂了。啥意思？ B=B-A? 2006-6-28 20:35 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 50 楼最初由 whale* 发布* 0137018D FFD0 call eax ; EAX=01118A20，CALL Route Address=01118A20? 0137018F 64:FF35 0000000>push dword ptr fs:[0] 01370196 83E8 4D sub eax,4D 01370199 B8 12464200 mov eax,dumped_.00424612 0137019E 58 pop eax ........ 你还是论坛搜索参考SYSCOM的文章吧。 2006-6-28 22:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复