月之精灵加入PYG54小组学习

月之精灵

月之精灵加入PYG54小组学习~
问：为什么要加入PYG54小组学习？
答：学习、提高，再学习、再提高。。。。。。。。。。

fonge

你想学什么，在哪方面提高？

月之精灵

从头开始，我觉得每学一次都会有收获。脱壳方面想提高一下，

fonge

脱壳方面想提高到什么程度呢？

月之精灵

当然是越高越好了，不过目前的短期目标是想搞手动修复之类的，搞了一段时间不得要领。

fonge

修复什么，输入表？还是偷走的代码？或是穿山甲的CC？

月之精灵

输入表和偷代码，穿山甲目前还搞不定，那是下一步目标

fonge

修复Stolen Code就两个动作，找到代码，放回原来的地方！
而实际上使用Stolen Code大都是强壳，可能会加一些变形什么的，找不找得到还是一回事，因此能否修复stolen code的成功率取决于分析者对壳的理解程度。
推荐几篇查找stolen Code的文章：


（这一篇很直观）
Themida脱壳(VC++ 6.0之Stolen Code巧妙还原)
http://bbs.pediy.com/showthread.php?t=44656

Themida脱壳(VC++ 7.0之Stolen Code还原的一种思路)

http://bbs.pediy.com/showthread.php?t=42397

ASProtect.SKE.2.11 stolen code解密
http://bbs1.pediy.com/showthread.php?t=24437

------------------------------------------------------------------------------------------------
修复输入表基本上是靠工具，比如ImportREC等，但还是得找到正确的输入表才能进行。
要找到这张表才能进行正确的修复，能不能找到这张表同样是取决于分析者对壳的理解程度。

手工修复输入表差不多都是基于用工具修复之后还有几个关键的函数不能识别，这个可能使用工具进行简单的修复。
以ImportREC为例：
双击认错的函数，打开函数名编辑窗口，只要将正确的函数名替换掉认错的函数名即可！

-----------------------------------------------------------------------------------------------

说来说去关键点还是对壳的理解程度。

兄弟描述一下已加壳程序的整个运行过程吧！

[ 本帖最后由 fonge 于 2007-5-17 09:55 编辑 ]

月之精灵

用脚本脱ASPRO，找到OEP，DUMP，用工具修复，不成功，很多这样的例子，没有特点的某个程序，看了些文章，但不得要领。

fonge

OEP是什么？