手脱ASProtect 2.1x SKE -> Alexey Solodovnikov后无法运行
本帖最后由 ghc00259 于 2011-5-12 01:28 编辑先帮我看下代码是否是真正的OEP
004BF17A > $55 push ebp 这里是,真正的oep?
004BF17B .8BEC mov ebp,esp
004BF17D .6A FF push -0x1
004BF17F .68 30035D00 push BF17A.005D0330
004BF184 .68 701D4C00 push BF17A.004C1D70 ;SE 处理程序安装
004BF189 .64:A1 0000000>mov eax,dword ptr fs:
004BF18F .50 push eax
004BF190 .64:8925 00000>mov dword ptr fs:,esp
004BF197 .83EC 0C sub esp,0xC
004BF19A .53 push ebx
004BF19B .56 push esi
004BF19C .57 push edi
004BF19D .A1 B8996100 mov eax,dword ptr ds:
004BF1A2 .83F8 03 cmp eax,0x3
004BF1A5 .75 43 jnz short BF17A.004BF1EA
004BF1A7 .8B75 08 mov esi,dword ptr ss:
004BF1AA .3B35 A8996100 cmp esi,dword ptr ds:
004BF1B0 .0F87 93000000 ja BF17A.004BF249
004BF1B6 .6A 09 push 0x9
004BF1B8 .E8 5F370000 call BF17A.004C291C
004BF1BD .59 pop ecx
004BF1BE .8365 FC 00 and dword ptr ss:,0x0
如果是的话!你看,我继续了!
运行源程序,修复的时候发现有无效函数!我剪切掉--》转存 !
运行出现内存不能读!
脱了几种壳就是,发现自己还不明白什么是IAT,脱壳后的区段名怎么修复!每次脱完壳,发现与源程序的文件比较,发现我脱出来的文件可以正常运行,区段名乱七八糟!!!真真正正的不懂得完全修复一个程序,可以完全与源程序媲美!
如果你是比较老练的高手麻烦多写点文章出来参考!
在下不胜感激!!!
http://u.115.com/file/dnam12jz#
FlexHEX.7z
不废话了!脱完壳的文件与源程序我已经打包了!
对于每次脱出来的壳,我都是用OEP 命名的!OEP1/2代表重建输入表的两种方式!
如果此次脱的壳完全正确,并且修复完成,我再来细写一篇完整的文章!
我就是程序出来不能运行!查出来为Microsoft Visual C++ 6.0
就是不知道,这个是不是真正的OEP,跑脚本出来的OEP 的地址 = 004BC4B4
提示IAT偷窃,之后怎么完整修复呢
在乎的是方法,不是结果!
页:
[1]