[原创]EXECryptor Unpackme-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (33) ◀ 1 2
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 24 关注私信	KuNgBiM 66 26 楼 kkkkkkkkkkkk 上传的附件： dumped_.rar （324.59kb，14次下载） 2007-3-4 02:29 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 27 楼最初由 KuNgBiM* 发布* kkkkkkkkkkkk 给个详细的教程,特别是 00401E73 68 58454100 PUSH dumped_.00414558 00401E78 68 904A4000 PUSH dumped_.00404A90 里的00414558和00404A90是如何确定的。 2007-3-4 02:30 0
ruyi 雪币： 191 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 28 楼最初由 happytown* 发布* 还是v1.3? 抱歉是v1.3 我的找法具体是跑完了 Bypass AntiDBG OEP 之后，用alt+m看内存镜像目标程序 PE头后第一个段的位置，然后做base地址，输入正确的base地址后，点搜索选项里来源地址右侧的小箭头就能找到准确的IAT开头地址和一个大概的结束，一般结束地址都长，上来找到 winspool.drv 而后+1 就是程序中应该设置的地址，脚本中就是最后一个 winspool.drv 的地址。这个差异我不清楚，在实际使用过程中我发现了这个问题。。。 2007-3-4 02:32 0
ruyi 雪币： 191 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 29 楼最好是用 Adobe Captivate 2 做个录像吧！我是强烈地址屏幕录像机之类的软件，做了等于没做，不直观也容易漏东西。 2007-3-4 02:41 0
zlxknt 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	zlxknt 30 楼 Unpacker 上传的附件： dumped_.rar （465.89kb，10次下载） 2007-3-4 16:57 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 31 楼引用forgot的名言： Exec不用SDK=UPX 个人认为exec最强大的在于anti.似乎现在全过exec的anti的方法+工具都已经成熟了。唯一没有公开的工具的就是Exec的SDK的修复。所以对于没有SDK的Exec来说。用内存断点就能轻松的脱壳。 2007-3-5 02:34 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 32 楼最初由 Isaiah* 发布* 引用forgot的名言：个人认为exec最强大的在于anti.似乎现在全过exec的anti的方法+工具都已经成熟了。唯一没有公开的工具的就是Exec的SDK的修复。所以对于没有SDK的Exec来说。用内存断点就能轻松的脱壳。支持这种说法 2007-3-6 09:53 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 33 楼最初由 Isaiah* 发布* 引用forgot的名言：个人认为exec最强大的在于anti.似乎现在全过exec的anti的方法+工具都已经成熟了。唯一没有公开的工具的就是Exec的SDK的修复。所以对于没有SDK的Exec来说。用内存断点就能轻松的脱壳。不知Isaiah大侠对Exec的SDK的修复有没有研究？ 2007-3-6 12:45 0
豆豆先生雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	豆豆先生 34 楼支持。。。。。。。。。。。。。。。。 2007-3-6 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (33) ◀ 1 2
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 24 关注私信	KuNgBiM 66 26 楼 kkkkkkkkkkkk 上传的附件： dumped_.rar （324.59kb，14次下载） 2007-3-4 02:29 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 27 楼最初由 KuNgBiM* 发布* kkkkkkkkkkkk 给个详细的教程,特别是 00401E73 68 58454100 PUSH dumped_.00414558 00401E78 68 904A4000 PUSH dumped_.00404A90 里的00414558和00404A90是如何确定的。 2007-3-4 02:30 0
ruyi 雪币： 191 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 28 楼最初由 happytown* 发布* 还是v1.3? 抱歉是v1.3 我的找法具体是跑完了 Bypass AntiDBG OEP 之后，用alt+m看内存镜像目标程序 PE头后第一个段的位置，然后做base地址，输入正确的base地址后，点搜索选项里来源地址右侧的小箭头就能找到准确的IAT开头地址和一个大概的结束，一般结束地址都长，上来找到 winspool.drv 而后+1 就是程序中应该设置的地址，脚本中就是最后一个 winspool.drv 的地址。这个差异我不清楚，在实际使用过程中我发现了这个问题。。。 2007-3-4 02:32 0
ruyi 雪币： 191 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 29 楼最好是用 Adobe Captivate 2 做个录像吧！我是强烈地址屏幕录像机之类的软件，做了等于没做，不直观也容易漏东西。 2007-3-4 02:41 0
zlxknt 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	zlxknt 30 楼 Unpacker 上传的附件： dumped_.rar （465.89kb，10次下载） 2007-3-4 16:57 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 31 楼引用forgot的名言： Exec不用SDK=UPX 个人认为exec最强大的在于anti.似乎现在全过exec的anti的方法+工具都已经成熟了。唯一没有公开的工具的就是Exec的SDK的修复。所以对于没有SDK的Exec来说。用内存断点就能轻松的脱壳。 2007-3-5 02:34 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 32 楼最初由 Isaiah* 发布* 引用forgot的名言：个人认为exec最强大的在于anti.似乎现在全过exec的anti的方法+工具都已经成熟了。唯一没有公开的工具的就是Exec的SDK的修复。所以对于没有SDK的Exec来说。用内存断点就能轻松的脱壳。支持这种说法 2007-3-6 09:53 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 33 楼最初由 Isaiah* 发布* 引用forgot的名言：个人认为exec最强大的在于anti.似乎现在全过exec的anti的方法+工具都已经成熟了。唯一没有公开的工具的就是Exec的SDK的修复。所以对于没有SDK的Exec来说。用内存断点就能轻松的脱壳。不知Isaiah大侠对Exec的SDK的修复有没有研究？ 2007-3-6 12:45 0
豆豆先生雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	豆豆先生 34 楼支持。。。。。。。。。。。。。。。。 2007-3-6 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复