论坛 › 解密系列 › 脱壳篇 - 第三讲 - 实践是检验真理的唯一标准2（视频+课件+试验程序）

butcher 发表于 2013-11-21 21:25:29

没有那么多鱼币哦

yinyuepingguo 发表于 2013-11-28 13:05:36

楼主加油，鱼C加油！我们都看好你哦！

kingguo 发表于 2013-11-28 19:25:14

真好不错谢谢分享了、、、

kingguo 发表于 2013-11-29 12:56:05

支持楼主学习学习、、、

润秋 发表于 2013-12-5 19:58:16

吾是穷货，刚够解决温饱，无奈小鱼太贵啊…

ＹＥＡＨ 发表于 2014-1-31 17:23:54

。。:handshake

nevergiveup 发表于 2014-2-3 10:03:40

没办法    来打酱油

swsm 发表于 2014-2-25 12:30:27

ooooo，酷毙了！！！！

CHWTVT 发表于 2014-4-8 16:37:23

我只是路过打酱油的。真是好贴啊……

雨楠。 发表于 2014-6-12 13:16:50

我真的很感悟……强烈支持楼主ing……

雨楠。 发表于 2014-6-12 13:18:04

楼下的听好了……激动人心，无法言表！

sheng_dh 发表于 2014-6-20 13:25:57

强烈支持楼主ing……

sheng_dh 发表于 2014-6-21 16:26:16

一定要支持一下鱼老师。

sheng_dh 发表于 2014-6-22 17:33:25

aipeli 发表于 2013-11-15 22:33 static/image/common/back.gif
练习题还没有脱掉呀，哪位同学脱掉了，交流一下

大家分享一下，UnPackMe_Exe32Pack1.42.zip 如何脱壳的。万分感谢！

sheng_dh 发表于 2014-6-24 11:06:59

自己找了好久。
1. 查找，所有模块名称，IsDebuggerPresent
下断点：
7C813133 >64:A1 18000000mov   eax, dword ptr fs:
2. retn 后，是如下二个命令：
004186DA    8BBD 013C4000   mov   edi, dword ptr
004186E0    03BD 273C4000   add   edi, dword ptr
NOP，这二个命令。也就是恢复一个跳转命令。这样，IsDebuggerPresent就解决了！！！

2.
重点是以下，因为我是看小甲鱼视频开始学习脱壳的。小甲鱼一直强调，401000是代码段。所以，这是我的第一个误区。经过仔细看了Ctrl+M内存表后才发现的。
第二个误区，是dump时rebuild Imprt必须选择Method2(我也不知道什么原因，求大神解释。“在脱壳文件中，查找DLL和API名称。可能是因为这个壳把它们也修改了的原因吧！！！！”)
而我在想为什么明明OEP找到了, dump不行呢？这是我乱试出来的~！！！！！狂叹啊！！！


请各位，鉴定。谢谢！！！！

隐袭战龙 发表于 2014-10-2 10:06:22

心疼鱼币啊……

843126660 发表于 2014-11-5 20:15:53

真是难得给力的帖子啊。

lj207 发表于 2014-11-6 13:42:51

支持小甲鱼{:1_1:}

sanguo 发表于 2014-11-18 19:01:53

U币不够 。努力回帖才是正道

康小泡 发表于 2014-11-19 22:46:03

强烈支持楼主ing……{:7_146:}

查看完整版本: 脱壳篇 - 第三讲 - 实践是检验真理的唯一标准2（视频+课件+试验程序）