问题解决,分享一个停止时间的小软件
本帖最后由 oemxp 于 2017-10-15 14:27 编辑问题解决,分享一个停止时间的小软件 本帖最后由 oemxp 于 2017-10-15 14:27 编辑
问题已解决,分享一个停止时间的小软件~ 你要把你的问题,整理一下,一大堆,有点乱,也没人能看的懂啊,能看懂的人,一看也烦了,还以为是乱码呢。不能一下子就把所有的问题都推给高手啊 你要把你的问题,整理一下,一大堆,有点乱,也没人能看的懂啊,能看懂的人,一看也烦了,还以为是乱码呢。不能一下子就把所有的问题都推给高手啊 其实就是把程序源代码抽掉部分填入了壳申请的动态空间
这就要找出抽代码的部分修改壳加密流程
还有部分的 stolen code 融入了 VM ,这样就麻烦很多了(手动分析被 VM 的代码,然后
把它还原为 原代码,重建被VM抽掉的 CALL ,这样最完美
所谓的补区段是一种折冲的办法,就是不去还原 VM ,利用 动态中 ,壳 VM 区段已经完整解出,这时把它 DUMP 出这个数据,然后补回脱壳后的程序中,这时被脱壳的程序在调用这个
CALL 的时候就直接使用 VM 代码,这样效率当然不比还原后的代码,但现在计算机的速度,几乎不会感觉到和原程序有分别的,随手打出,都不知道有没有错字
[ 本帖最后由 lgjxj 于 2009-8-7 23:08 编辑 ] 至于你的标题说看不懂,那没法,你以后基础好了自然明白 刚开始可以找些OEP处的stolen code学着修复
因为某类编程语言的oep处语句都是一样的
找个相同语言编写的程序载入
然后对比你跟踪的程序
可以发现你跟踪的程序oep处代码为90
把拿来对照的程序oep一句一句对比
缺少的地方补回去就oK了
——————————————————————
等你把这个练熟了
再学补区段
一步一步来 IAT 的相对地址 = 00437258RVR
IAT 的大小 = 000008F4 大小
OEP 的相对地址 = 00122CB8OEP
填入修复工具 点获取
就可以额 我晕,你这是什么软件啊,这么多偷窃区段。。
页:
[1]