更新：UnPackMe v1.2

fonge · 发表于 2007-3-7 21:56:25

有进度，贴出来吧

有疑惑，也贴出来吧
:handshake

glts · 发表于 2007-3-7 21:59:43

没有任何记录啊~OD自已跑到OEP的~我缩小到最小化~我自己都没看.

黑夜彩虹 · 发表于 2007-3-8 08:12:55

原帖由 fonge 于 2007-3-7 21:44 发表
我在公司偷偷上网呢！
什么叫做SFX大法！:L

SFX可自动找到OEP，哪位手动脱试试~~~:lol:

海风月影 · 发表于 2007-3-8 09:39:07

没有 SEH，hideod隐藏一下OD（习惯了，也许用不到），对第二区段下内存写断点，F9，来到这里

00464D19 > /8A0411       mov    al, byte ptr ds:[ecx+edx]
00464D1C . |880431       mov    byte ptr ds:[ecx+esi], al       ;  来到这里
00464D1F .^\E2 F8       loopd short UnPackme.00464D19
00464D21 .  5E          pop    esi                            ;  取消断点，在这行按F4

F4后，对第二区段在访问上设置中断，即F2，F9运行，停在OEP，dump，修复IAT，OK。

自校验嘛，对ExitProcess下断点，很容易找到相关代码，这里修改一下跳过检测

004507F0 /0F84 1D010000 je    UnPackme.00450913

改成

004507F0    90             nop
004507F1    E9 24010000    jmp    UnPackme.0045091A

保存，OK

fonge · 发表于 2007-3-8 10:04:26

把他的自校验dump下来分析:lol:

黑夜彩虹 · 发表于 2007-3-8 10:28:40

原帖由 海风月影 于 2007-3-8 09:39 发表
没有 SEH，hideod隐藏一下OD（习惯了，也许用不到），对第二区段下内存写断点，F9，来到这里

00464D19 > /8A0411 mov al, byte ptr ds:
00464D1C . |880431 mov byte ptr ds: ...

是这样，没错。。。

再加强试试~~

glts · 发表于 2007-3-8 10:41:13

能偷懒就先偷懒~不行的话,再去想办法,习惯这样!

黑夜彩虹 · 发表于 2007-3-8 10:50:15

原帖由 glts 于 2007-3-8 10:41 发表
能偷懒就先偷懒~不行的话,再去想办法,习惯这样!

我主要是要测试校验，壳的强度也可以加强的~~

glts · 发表于 2007-3-8 10:54:00

要是校验也搞得像那个汉语大辞典那样就历害了~那个我还没搞出来呢

fonge · 发表于 2007-3-8 10:55:03

所以还是dump那段自校验是相当重要的！
不过我玩不起！/fad

		自动登录	找回密码
密码			加入我们