自效验的去处
高手求救,脱壳修复后程序出现个错误提示框,说文件被修改的提示框,估计是自效验,查看很多资料都没有办法去除,希望有一位好心的飘云路过解决下,不胜感激, 没人愿意帮助下嘛 这个有点**啊,查壳是UPX,可脱壳后有无效的IAT指针,它厉害的地方就是不能用等级3修复,一修复,软件自动就退出了,跟了半天,晕了/:L 高手们,看下 楼主写出分析过程。这样才有高人帮助的 我用bp GetFileSize断下来,往下走发现有一地址显示0C300,它的十六进制就是脱壳后文件的大小,但往下跟就不知道怎么办,希望论坛里的高手帮帮忙? 同意6楼的说法,我用PEID查了下他的算法,有CRC校验,bp GetFileSize调试了一下,发现对这个脱过后文件大小(0C3000),经过了一系列的复杂计算,不是象有的文件大小自校验一样和一个固定的数比较,转了半天把我转晕了,最后程序跑飞了,这个自校验有点BT啊,期待高手。。。。 /:001 /:001 /:001 校验的代码给VM了! jmp VM O(∩_∩)O哈哈~
PS: 下次把文件放到网盘上 节省些服务器硬盘资源 大牛们都来了,能给我们新手说说吗?被这个自校验折磨的吃不香,睡不好啊!!!!!!!
页:
[1]
2