CM一个

Puncture_sx · 发表于 2011-4-23 09:31

有safengine貌似啊
各位看看

Rookietp · 发表于 2011-4-23 09:44

本帖最后由 xiaobang 于 2011-4-23 09:48 编辑

外壳启动另外一个ESP.DLL ，ESP.DLL加了一个UPX，00401104 /0F85 35000000 jnz Esp.0040113F //NOP。

密码：Esp.By Lcc

Shiny · 发表于 2011-4-23 09:45

提示: 作者被禁止或删除内容自动屏蔽

jnad · 发表于 2011-4-23 09:49

本帖最后由 jnad 于 2011-4-23 09:51 编辑

附加？

heiketian10 · 发表于 2011-4-23 10:18

本帖最后由 heiketian10 于 2011-4-23 10:20 编辑

运行程序，会在运行目录下释放一个esp.dll

dll加了upx，脱壳之后，有明文提示

loader貌似处理的不错。

zxcqq8520 · 发表于 2011-4-23 10:31

加个UPX伪装成DLL，把那DLL改成EXE就知道是怎么一回事了。

heiketian10 · 发表于 2011-4-23 10:32

这应该是入口点，应该是易语言写的；

第一个call就给处理了。。。。。

oep第一个字节给处理了

羡小b · 发表于 2011-4-23 10:39

易语言。将EXE改成了dll再加载。。。貌似注入的时候最喜欢用这招。。。

羡小b · 发表于 2011-4-23 10:43

回复 heiketian10 的帖子

你在弄那原程序？求还原方法。谢谢。

heiketian10 · 发表于 2011-4-23 10:47

回复羡小b 的帖子

前期是解压缩，不是还原，还原虚拟机太难了。。。。。

oep没有怎么处理，但是下面的关键代码都给v了。

呵呵。。。。

如果是单纯的解压的话，你下vp函数，然后等待code段解压；

之后再code下access 也就内存读的断点，会发现部分api的填充；

然后api填充完毕，就基本快到oep了。。。。

外壳处理了一个字节也就是push。。。。

帐号		自动登录	找回密码
密码			注册[Register]

Shiny Shiny 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	Shiny 发表于 2011-4-23 09:45 吾爱破解论坛没有任何官方QQ群，禁止留联系方式，禁止任何商业交易。提示: 作者被禁止或删除内容自动屏蔽
	如何升级？如何获得积分？积分对应解释说明！
	回复支持举报

[CrackMe] CM一个

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

个人中心