【求助】NsPacK V3.7 -> LiuXingPing * Sign.By.fly * 脱壳后的问题[已解决]
一个软件用PeID_0.94查壳显示“NsPacK V3.7 -> LiuXingPing * Sign.By.fly *”用ESP原理进行脱壳,脱壳后无法正常运行,提示“遇到问题需要关闭”,用OD载入脱壳后的文件
00401B28 .- FF25 00114000 JMP DWORD PTR DS:
00401B2E .- FF25 B8104000 JMP DWORD PTR DS:
00401B34 .- FF25 EC104000 JMP DWORD PTR DS:
00401B3A $- FF25 98114000 JMP DWORD PTR DS: ;经过这里按两次F8后出现错误提示
00401B40 > $68 709E4000 PUSH 00409E70 ; 程序开始在这里。 ASCII "VB5!6&vb6chs.dll"
00401B45 .E8 F0FFFFFF CALL 00401B3A ;F7跟进到上面
00401B4A .0000 ADD BYTE PTR DS:,AL
00401B4C .0000 ADD BYTE PTR DS:,AL
00401B4E .0000 ADD BYTE PTR DS:,AL
00401B50 .3000 XOR BYTE PTR DS:,AL
00401B52 .0000 ADD BYTE PTR DS:,AL
00401B54 .48 DEC EAX
错误提示是“不知如何处理单步,因为内存地址********不可读。请尝试更改EIP,或将异常传递给程序。”
遇到这种情况应该如何处理
[ 本帖最后由 pingan 于 2008-9-15 20:43 编辑 ] 把壳传来看看,没有壳实难如题! 遇到这种情况应该如何处理
把exe传上来就行了 00401B40// oep
Create new eip/:014
dump fileand fixed iat now
[ 本帖最后由 kungbim 于 2008-9-1 02:39 编辑 ] 最好提供一个文件下载啊 已经提供软件下载,请大家帮助看看。 脱壳后有大小效验! 0040F956 .50 push eax ; /FileName
0040F957 .FF15 94114000 call dword ptr [<&msvbvm60.rtcFileLen>; \rtcFileLen
0040F95D .33C9 xor ecx, ecx
0040F95F .3D 7CE00000 cmp eax, 0E07C
0040F964 .0F9FC1 setg cl
0040F967 F7D9 neg ecx 原帖由 aj3423 于 2008-9-4 19:18 发表 https://www.chinapyg.com/images/common/back.gif
0040F956 .50 push eax ; /FileName
0040F957 .FF15 94114000 call dword ptr [; \rtcFileLen
0040F95D .33C9 xor ecx, ecx
0040F95F ...
不太明白你这是什么意思?可以解释一下吗?
页:
[1]
2