[求助]用OD同种版本的壳产生两种不同的结果-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 2 楼异常的设置问题吧 2008-4-10 17:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼请给出两个文件的下载链接。 2008-4-10 17:33 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 4 楼 b5dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6s2g2@1L8%4u0A6j5h3I4Q4x3V1k6U0K9r3q4H3z5q4)9J5c8V1y4Z5j5i4l9^5i4K6u0V1y4q4)9J5k6o6u0Q4x3X3g2Z5N6r3#2Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0W2Q4z5o6u0Q4b7e0y4Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0k6Q4b7U0u0Q4b7e0q4Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0S2Q4z5o6c8Q4b7U0q4Q4c8e0k6Q4z5o6S2Q4z5e0m8Q4c8e0g2Q4z5p5q4Q4z5f1k6Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4x3V1x3`. http://bbs.pediy.com/upload/bbs/unpackfaq/notepad.upx.rar这是那个脱成功了的, 都是看雪论坛的教程,本人比较菜 2008-4-10 17:41 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 5 楼 Chap8-4-2中的notepad-upx.exe，跑到OEP（00401000）后，用OD的脱壳调试进程，dump下来的的确不能运行，提示“应用程序正常初始化(0xc000007b)失败” 于是我改用另一种方式，在LordPE中把内存镜像完整转存，然后用ImportREC修复IAT（同时也修改了入口点偏移为1000），修复后的程序正常运行（在附件）。这说明脱壳并没有问题，不知道是否是OD的问题？上传的附件： dumped_.rar （18.57kb，10次下载） 2008-4-10 21:16 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 6 楼另外这两个记事本的文件版本是不一样的，从而OEP也是不一样的。 2008-4-10 21:18 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 7 楼谢谢大家,我是菜鸟,不太会刚才高手说的那个,我初来看雪,感觉大家真的很热心,谢谢, 如果刚才那位高手有时间的话能不能把过程写具体一点, 2008-4-10 21:51 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼 OD里跑到OEP这个不用说了吧：然后打开LordPE，在进程列表中选中被调试的Notepad-upx.exe进程，下面的模块列表中在Notepad-upx.exe上右键点“完整转存”，保存为dumped.exe: 这样映像文件就dump下来了，接下来是修复输入表。使用ImportREC，在Attah to an Active Process的下拉列表中选中被调试的Notepad-upx.exe进程，之后在OEP框中把数值改为00001000（即OEP偏移）之后点击IAT AutoSearch，会提示你Found Something，点确定后，再点Get Imports，会看到找到五个dll的输入表项，而且全是可用的。这样再点fix dump，对话框中选中刚刚转存出来的dumped.exe，就会提示成功生成dumped_.exe dumped_.exe就是修复完的文件，可以正常运行。这些都是基本的操作，只是楼主要求要详细点，那我就罗嗦一下了。上传的附件： pediy1.jpg （20.30kb，43次下载） pediy2.jpg （16.31kb，43次下载） pediy3.jpg （8.60kb，43次下载） 2008-4-10 22:16 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 9 楼最主要的是我够菜,修复这些东西还不太清楚,所以要步骤清楚一些才能看懂,麻烦了好详细的步骤,太感动了 2008-4-11 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 2 楼异常的设置问题吧 2008-4-10 17:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼请给出两个文件的下载链接。 2008-4-10 17:33 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 4 楼 b5dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6s2g2@1L8%4u0A6j5h3I4Q4x3V1k6U0K9r3q4H3z5q4)9J5c8V1y4Z5j5i4l9^5i4K6u0V1y4q4)9J5k6o6u0Q4x3X3g2Z5N6r3#2Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0W2Q4z5o6u0Q4b7e0y4Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0k6Q4b7U0u0Q4b7e0q4Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0S2Q4z5o6c8Q4b7U0q4Q4c8e0k6Q4z5o6S2Q4z5e0m8Q4c8e0g2Q4z5p5q4Q4z5f1k6Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4x3V1x3`. http://bbs.pediy.com/upload/bbs/unpackfaq/notepad.upx.rar这是那个脱成功了的, 都是看雪论坛的教程,本人比较菜 2008-4-10 17:41 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 5 楼 Chap8-4-2中的notepad-upx.exe，跑到OEP（00401000）后，用OD的脱壳调试进程，dump下来的的确不能运行，提示“应用程序正常初始化(0xc000007b)失败” 于是我改用另一种方式，在LordPE中把内存镜像完整转存，然后用ImportREC修复IAT（同时也修改了入口点偏移为1000），修复后的程序正常运行（在附件）。这说明脱壳并没有问题，不知道是否是OD的问题？上传的附件： dumped_.rar （18.57kb，10次下载） 2008-4-10 21:16 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 6 楼另外这两个记事本的文件版本是不一样的，从而OEP也是不一样的。 2008-4-10 21:18 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 7 楼谢谢大家,我是菜鸟,不太会刚才高手说的那个,我初来看雪,感觉大家真的很热心,谢谢, 如果刚才那位高手有时间的话能不能把过程写具体一点, 2008-4-10 21:51 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼 OD里跑到OEP这个不用说了吧：然后打开LordPE，在进程列表中选中被调试的Notepad-upx.exe进程，下面的模块列表中在Notepad-upx.exe上右键点“完整转存”，保存为dumped.exe: 这样映像文件就dump下来了，接下来是修复输入表。使用ImportREC，在Attah to an Active Process的下拉列表中选中被调试的Notepad-upx.exe进程，之后在OEP框中把数值改为00001000（即OEP偏移）之后点击IAT AutoSearch，会提示你Found Something，点确定后，再点Get Imports，会看到找到五个dll的输入表项，而且全是可用的。这样再点fix dump，对话框中选中刚刚转存出来的dumped.exe，就会提示成功生成dumped_.exe dumped_.exe就是修复完的文件，可以正常运行。这些都是基本的操作，只是楼主要求要详细点，那我就罗嗦一下了。上传的附件： pediy1.jpg （20.30kb，43次下载） pediy2.jpg （16.31kb，43次下载） pediy3.jpg （8.60kb，43次下载） 2008-4-10 22:16 0
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 9 楼最主要的是我够菜,修复这些东西还不太清楚,所以要步骤清楚一些才能看懂,麻烦了好详细的步骤,太感动了 2008-4-11 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]用OD同种版本的壳产生两种不同的结果 0.00雪花