返回首页

  • ASPack的脱壳 点击:3383 好评:5

    DiKeN/iPB ====================================================== 1. 完全解析各个程序部分的功能以及脱壳关键点; 2. 指出还原文件的大小的关键数据地址; 其实没有必要写了, ASPack的壳就那么简单, 没有SEH, 没有anti 分析按照程序流程来, 可以顺着顺序看 ==========...

  • Asprotect 1.2x 加壳的 Mouse Lock 1.64脱壳 点击:2723 好评:2

    软件介绍: 简单好用的鼠标锁定工具,它可设置密码将鼠标锁...

  • 手工脱ASPR壳的一点思路 点击:923 好评:2

    我就简单的把脱壳的思路讲一下吧! 一,经过ASPR加壳的程序采用了以下几种反脱壳的手法: 1,破坏引入表。 2,把程序中的一部分代码移到壳的空间中。这个空间在WIN98上的地址在:80000000以上。在WINXP上的地址为:00F00000~01XXXXXX处。 3,花指令加异常等ANTIDEBUG手...

  • 用OLLYDBG跟踪Krypton v0.4加的壳 点击:811 好评:0

    首先载入目标,F9 003D042F 8918 MOV DWORD PTR DS:[EAX],EBX ---第一处异常 003D0431 EB 3C JMP SHORT 003D046F 003D0433 DF69 4E FILD QWORD PTR DS:[ECX+4E] 003D0436 58 POP EAX 003D0437 DF59 71 FISTP WORD PTR DS:[ECX+71] 003D043A F4 HLT 003D043B EB 01 JMP S...

  • Armadillo.exe的脱壳(2.50) 点击:1613 好评:0

    Armadillo.exe的脱壳(2.50) 在hying和zombieys两位大虾的指教下,初试脱armadillo.exe,没有想到意外成功 以下不妥的地方还请诸位大侠多多指教 我用TRW装载Armadillo.exe(2。50)。按照zombieys大虾的方法,bpx virtualprotect.共中断27次后, 按F12进入armadillo的领...

  • tElock 0.98b1 -> tE!的简单脱壳 点击:2007 好评:-2

    说简单也简单,说难也难。难在没有明白tElock壳的原理,简单在有前人的脱壳教程。:) 今天来个LocPlus1.05,不错的VB字符串替换工具,今天只说脱壳不谈破解。 常用工具trw、superbmp、ImportREC。 016F:00451BD4 ADD [EAX],AL 016F:00451BD6 JMP 00450000 -------...

  • pll621 crackme脱壳 点击:752 好评:4

    使用工具: SoftIce,LordPE,ImportREC,WinHex,Hiew 1. OEP快速寻找 设断点bpx GetStartupInfoA,程序中断返回 001B:00401DC3 50 PUSH EAX 001B:00401DC4 FF1504204000 CALL [KERNEL32!GetStartupInfoA] == 通用断点函数 001B:00401DCA F645D001 TEST BYTE PTR [EBP-30],0...

  • 用OLLYDBG快速脱tElock V0.98的壳 点击:1141 好评:2

    现在的ASPR都有脱壳机了,tElock还没有,还要手脱,真是累,一直想找一个较快的方法,呵 发现用OLLYDBG脱速度很快,而且还是傻瓜式的:-) 目标:**投注大师2003黄金版 工具:ollydbg1.09,winhex,loadpe,peditor. 一、找入口点 用OLLYDBG找tElock的入口点完全不用动脑...

  • UASPR详细脱壳过程 点击:649 好评:0

    老规矩: 1、先用FI看文件用什么加的壳 2、找入口点,由于老飞以说明,免了 3、用OLLYDBG载入程序来到这 00401000 /$ 68 01D04000 PUSH PACK.0040D001 00401005 |. E8 01000000 CALL PACK.0040100B 0040100A \. C3 RETN 0040100B $ C3 RETN 0040100C 89 DB 89 0040100D...

  • 被加壳vb5/6程序的OEP定位经验 点击:669 好评:2

    结合我了解的vb5/6可执行文件的结构,说说如何定位其OEP。 任何反编译过vb程序的人,总会见到其OEP是如下结构: //******************** Program Entry Point ******** :00401060 68B4114000 push 004011B4 :00401065 E8F0FFFFFF Call 对于以地址004011B4开始的一段代码...