心跳的惊喜 发表于 2008-6-17 17:48:44

nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping

这是OEP吗?用PEID查出是 nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping的壳。

心跳的惊喜 发表于 2008-6-17 17:53:22

这张呢?是不是OEP?

wiliiwin 发表于 2008-6-17 19:53:48

都不是的 继续跟

心跳的惊喜 发表于 2008-6-17 20:48:27

可是一直跟下去就是循环在同一个地方,

flyskey 发表于 2008-6-19 03:18:52

NO OEP /:011

心跳的惊喜 发表于 2008-6-19 12:40:37

把程序传上来,看看哪个高人能帮个忙!!3Q

心跳的惊喜 发表于 2008-6-19 12:44:00

一定要有过程的呀,/:09 /:09 /:09

aj3423 发表于 2008-6-19 14:28:30

试了一下, 所有近call 和 会跑飞的call都用F7跟进
004185E8   /E9 3B000000   jmp 00418628    到这里时候,看到下面有个popfd,而且上下的代码都不是乱码,判断出以后会执行到那里,所以直接在418602 popfd 处F4,
00418602    9D            popfd
然后一路走到
004185DC    80E0 3C         and al, 3C   到这里又能看到下面有个popfd,老规矩到那里F4,来到
00418602    9D            popfd
....
然后看到有很大一串 nop,到这基本就没什么问题了,下面还有个循环
00410C73^\EB B4         jmp short 00410C29    这里会往回跳,处理各个函数,可能和iat什么有关。。
直接到下面 00410C76 C3 ret 这里F4,然后就快到oep了, lordpe dump,import rec修复就ok

心跳的惊喜 发表于 2008-6-19 18:05:27

00410C73^\EB B4         jmp short 00410C29    这里会往回跳,
这一段始终进行不到

心跳的惊喜 发表于 2008-6-19 18:35:01

到了00410BCE EE out dx,al就是跑起来了,没办法了
页: [1] 2 3
查看完整版本: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping