[求助]请问大虾们 “什么也没发现”的壳要怎么脱-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2 楼如果EP是mov eax,0估计就是themida 2007-10-30 21:08 0
ynboyinkm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 443 粉丝 0 关注私信	ynboyinkm 3 楼升级peid数据库查看,如果还是看不到就从段区看看可不可以找到信息,不行就单步跟踪看一下可不可以从特真看出什么壳,如果都看不出是什么壳,就用几大脱壳方法试一下未知壳! esp定律是不错的选择可以先试一下! 2007-10-31 10:28 0
陈埃雪币： 204 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 84 粉丝 1 关注私信	陈埃 4 楼让菜鸟来回答你：试试用DiE64来查查看。 2007-11-3 21:37 0
Stukey 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	Stukey 5 楼可能是程序被绑定了你试着分解一下被绑定的程序在检测应该可以检测到具体什么加的壳 2007-11-4 08:38 0
magicfx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 118 粉丝 0 关注私信	magicfx 6 楼那就用 loader吧一般所謂脫殼，包括了解開封裝及重組回原始執行檔(或可等效運作的執行檔) 一般情形下，解開封裝不是問題(少數例外如 .NET 的某些殼) 因為殼必須將程式回復至記憶體中可運作狀態故... debug 階段, 是無所謂可不可脫殼的問題 ( 指真正執行 debug ... 而不是類文書處理器的反組譯原始碼) 在無法判斷殼且無法脫殼時( 通常是無法重組回可用執行檔, 而非解不開封裝) 使用loader 將殼載入執行, 殼將之還原至記憶體 loader 再視需要修改記憶體(並不修改檔案) (lodaer 使用的修改資料, 當然是原先 debug 而來) 2007-11-5 03:41 0
magicfx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 118 粉丝 0 关注私信	magicfx 7 楼請順手丟個載點上來吧 2007-11-5 03:43 0
陈埃雪币： 204 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 84 粉丝 1 关注私信	陈埃 8 楼请搜索：Detect it Easy 0.64 汉化版 2007-11-5 19:38 0
magicfx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 118 粉丝 0 关注私信	magicfx 9 楼 938K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3k6G2M7Y4g2E0i4K6u0W2M7$3I4A6L8h3g2Q4x3X3g2U0L8$3#2Q4x3X3g2@1N6#2)9J5c8Y4c8Z5M7X3g2S2k6o6t1H3y4e0p5#2x3W2)9J5k6h3S2@1L8h3H3`. 9e6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2W2L8r3I4K6M7r3q4%4L8W2)9J5k6h3&6E0i4K6u0W2M7Y4g2Q4x3V1j5`. 2007-11-5 20:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2 楼如果EP是mov eax,0估计就是themida 2007-10-30 21:08 0
ynboyinkm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 443 粉丝 0 关注私信	ynboyinkm 3 楼升级peid数据库查看,如果还是看不到就从段区看看可不可以找到信息,不行就单步跟踪看一下可不可以从特真看出什么壳,如果都看不出是什么壳,就用几大脱壳方法试一下未知壳! esp定律是不错的选择可以先试一下! 2007-10-31 10:28 0
陈埃雪币： 204 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 84 粉丝 1 关注私信	陈埃 4 楼让菜鸟来回答你：试试用DiE64来查查看。 2007-11-3 21:37 0
Stukey 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	Stukey 5 楼可能是程序被绑定了你试着分解一下被绑定的程序在检测应该可以检测到具体什么加的壳 2007-11-4 08:38 0
magicfx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 118 粉丝 0 关注私信	magicfx 6 楼那就用 loader吧一般所謂脫殼，包括了解開封裝及重組回原始執行檔(或可等效運作的執行檔) 一般情形下，解開封裝不是問題(少數例外如 .NET 的某些殼) 因為殼必須將程式回復至記憶體中可運作狀態故... debug 階段, 是無所謂可不可脫殼的問題 ( 指真正執行 debug ... 而不是類文書處理器的反組譯原始碼) 在無法判斷殼且無法脫殼時( 通常是無法重組回可用執行檔, 而非解不開封裝) 使用loader 將殼載入執行, 殼將之還原至記憶體 loader 再視需要修改記憶體(並不修改檔案) (lodaer 使用的修改資料, 當然是原先 debug 而來) 2007-11-5 03:41 0
magicfx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 118 粉丝 0 关注私信	magicfx 7 楼請順手丟個載點上來吧 2007-11-5 03:43 0
陈埃雪币： 204 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 84 粉丝 1 关注私信	陈埃 8 楼请搜索：Detect it Easy 0.64 汉化版 2007-11-5 19:38 0
magicfx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 118 粉丝 0 关注私信	magicfx 9 楼 938K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3k6G2M7Y4g2E0i4K6u0W2M7$3I4A6L8h3g2Q4x3X3g2U0L8$3#2Q4x3X3g2@1N6#2)9J5c8Y4c8Z5M7X3g2S2k6o6t1H3y4e0p5#2x3W2)9J5k6h3S2@1L8h3H3`. 9e6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2W2L8r3I4K6M7r3q4%4L8W2)9J5k6h3&6E0i4K6u0W2M7Y4g2Q4x3V1j5`. 2007-11-5 20:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]请问大虾们 “什么也没发现”的壳要怎么脱 0.00雪花