关于自效验的JJ
http://u.115.com/file/t4b65c923b 哪位高手帮忙看看这个自效验,困惑了好久呀。累死我了。 看雪首页的OD。加个OD隐藏就OK了。还不行就加个新的SOD 有人回答的话,我可以在加点悬赏 怎么还是没人理呢:dizzy: 你有这么多飘云币? 回复 4# MONNYABC有啊!帮我看看上面自效验的问题。我赚到的飘云币都给大家,谢谢了。 呵呵,开玩笑哪,壳脱了,其它的自已看看吧。
使用.rar
http://u.115.com/file/t2f10ecc66 回复 6# MONNYABC
你是怎么脱的呢,可以指点一下吗?谢谢了/:QQ3 回复 6# MONNYABC
在没,能给我说说你是怎么做的。谢谢了。我已经搞了好几天了。 OD载入,打开内存,记得隐藏OD。
内存映射
00400000 00001000 LXYEng 0 PE header Imag 01001002 R RWE
00401000 00055000 LXYEng 0CODE code Imag 01001002 R RWE
00456000 00002000 LXYEng 0DATA data Imag 01001002 R RWE
00458000 00001000 LXYEng 0BSS Imag 01001002 R RWE
00459000 00003000 LXYEng 0.idata Imag 01001002 R RWE
0045C000 00001000 LXYEng 0.tls Imag 01001002 R RWE
0045D000 00008000 LXYEng 0.rdata Imag 01001002 R RWE//F2下断
00465000 0001E000 LXYEng 0.rsrc resources Imag 01001002 R RWE
00483000 0001B000 LXYEng 0 SFX,imports Imag 01001002 R RWE
SHIFT+F9
0048380F AC lods byte ptr ds://停到这里
00483810 85C9 test ecx,ecx
00483812 FEC0 inc al
00483814 34 7D xor al,7D
00483816 8D1B lea ebx,dword ptr ds:
00483818 8D1B lea ebx,dword ptr ds:
0048381A 0ADB or bl,bl
0048381C 34 11 xor al,11
0048381E 85C9 test ecx,ecx
00483820 34 07 xor al,7
00483822 F6D8 neg al
00483824 04 87 add al,87
00483826 8D12 lea edx,dword ptr ds:
Ctrl + B ,输入 0A F6 89 54,查不到就查0A F6 ,查找。
00483DE6 0AF6 or dh,dh //停到这里
00483DE8 61 popad
00483DE9 C685 5EAC4000 0>mov byte ptr ss:,0
00483DF0 74 07 je short LXYEng.00483DF9//这个是处理IAT的跳,就是MAGIC跳。改成jmp short LXYEng.00483DF9
00483DF2 808D 5EAC4000 0>or byte ptr ss:,1
00483DF9 33C0 xor eax,eax
再alt+m,打开内存。
在code,00401000处下断,到OEP,下面就直接脱壳吧。不用再修复IAT了。
页:
[1]
2