- UID
- 46858
注册时间2008-2-23
阅读权限8
最后登录1970-1-1
初入江湖
该用户从未签到
|
目前易语言的脱壳快捷方式对菜鸟来说太繁琐了。我学了很久也没参透其中真谛。
---------------------
比如:
-
- ///////////////////////////////////////////////////////////////////////////////
- //
- // FileName : DumpECode.oms(把易格式原体从PE文件中分离出来)
- // Author : monkeycz
- // Date : 2004-11-28 21:36
- // Comment : 搜索易格式所在的节,然后dump出易格式原体。由于没有经过装载器
- // 重定位,dump出来的原体也不需要修复重定位信息。
- //
- ///////////////////////////////////////////////////////////////////////////////
- mov reg04,0xC6284 //ImageBase,需要自行修改 这里怎么获得?
- invoke Search, reg04, "2E65636F64" //查找易格式所在节 这个代码会过期么?
- cmp reg00,-1
- je nofind //没有找到:(
- mov reg01,reg00
- add reg01,0x0C //到VirtualAddress处
- invoke ReadMemLong,reg01,0x04 //读取易格式的VirtualAddress
- mov reg05,reg00
- //invoke PrintNum, reg05, 16
- add reg05,reg04 //当前易格式所在的节内存中的偏移
- //invoke PrintNum, reg05, 16
- add reg01,0x04 //到SizeOfRawData处
- invoke ReadMemLong,reg01,0x04 //取出易格式的尺寸
- mov reg03,reg00
- //invoke PrintNum, reg03, 16
- invoke InputText,"Please input the filename:"
- cmp reg00,0x00
- je cancel
- invoke DumpMem,reg05,reg03,FreeBufferReg //dump
- je error
- invoke msg,"Dump the E code finish!"
- halt
- nofind:
- invoke msg,"No find the E code!"
- halt
- cancel:
- halt
- error:
- invoke msg,"Write file error!"
- halt
-
mov reg04,0xC6284 //ImageBase,需要自行修改 这里怎么获得?
invoke Search, reg04, "2E65636F64" //查找易格式所在节 这个代码会过期么?
疑惑啊/:010
于是这么优秀的易程序专脱脚本就被我……
--------------------------------
ECE0.86
自E语言4.13开始ECE进入无效阶段
期待新版本
--------------------------------
Bp 00400010
至今没搞清楚什么意思,还有在52上看到了另一个地址
----------------------------
请教PYG的哥哥姐姐到底这些是怎么回事
感激不尽 |
|
IP卡
发表于 2009-7-1 19:13:46
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2009-7-1 22:35:56
楼主
发表于 2009-7-6 19:57:05