收藏本站 设为首页
 主页 > 114ls历史图库 >

PE-Armor V07X - hying 怎么脱壳啊?

编辑:admin 日期:2019-06-26 16:50 分类:114ls历史图库 点击:
简介:可选中1个或多个下面的关键词,搜索相关资料。也可直接点搜索资料搜索整个问题。 手动脱在短时间内是没指望了, 用 forgot 的 romra755 脱掉. 可是在修复输入表的时候遇到了难题, ImportIAT 说入口点无效. 我只能手动一个区段一个区段地查找IAT, 好在这个程序

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  手动脱在短时间内是没指望了, 用 forgot 的 romra755 脱掉. 可是在修复输入表的时候遇到了难题,

  ImportIAT 说入口点无效. 我只能手动一个区段一个区段地查找IAT, 好在这个程序的IAT不多, 只有

  修复、重建后的dumped_.exe运行后提示非法数据, 用OD跟跟看.

  这就是全部的API调用, 连创建窗口的函数都没有. 而且这个程序还把文件解压到temp文件夹来加载.

  脱壳后的文件末尾没有这些附加数据, 要从原文件的0x28E800(这个值可以看section算出来)处至文件末

  用OD跟出加载的文件是krnln.fnr(UPX壳). (后来才知道这是易语言的标志)

  在看雪精华中看了易语言的破文, 依葫芦画瓢地在OD中搜字符串, 结果失败了. 难道是脱壳不干净?

  这个程序是KeyFile的注册方法, 不能跟踪的话就没法得出算法, 只得爆破了.

  006D3AA8处的jnz可以改为jmp爆掉, 但这是治标不治本的方法.

  3. 易语言的代码有小花, 影响破解速度. 对付易语言, 动静结合的分析尤为重要.

热销推荐