脱壳篇 - 第三讲 - 实践是检验真理的唯一标准2（视频+课件+试验程序）

butcher · 发表于 2013-11-21 21:25:29

没有那么多鱼币哦

yinyuepingguo · 发表于 2013-11-28 13:05:36

楼主加油，鱼C加油！我们都看好你哦！

kingguo · 发表于 2013-11-28 19:25:14

真好不错谢谢分享了、、、

kingguo · 发表于 2013-11-29 12:56:05

支持楼主学习学习、、、

润秋 · 发表于 2013-12-5 19:58:16

吾是穷货，刚够解决温饱，无奈小鱼太贵啊…

ＹＥＡＨ · 发表于 2014-1-31 17:23:54

。。:handshake

nevergiveup · 发表于 2014-2-3 10:03:40

没办法来打酱油

swsm · 发表于 2014-2-25 12:30:27

ooooo，酷毙了！！！！

CHWTVT · 发表于 2014-4-8 16:37:23

我只是路过打酱油的。真是好贴啊……

雨楠。 · 发表于 2014-6-12 13:16:50

我真的很感悟……强烈支持楼主ing……

雨楠。 · 发表于 2014-6-12 13:18:04

楼下的听好了……激动人心，无法言表！

sheng_dh · 发表于 2014-6-20 13:25:57

强烈支持楼主ing……

sheng_dh · 发表于 2014-6-21 16:26:16

一定要支持一下鱼老师。

sheng_dh · 发表于 2014-6-22 17:33:25

aipeli 发表于 2013-11-15 22:33

登录/注册后可看大图

练习题还没有脱掉呀，哪位同学脱掉了，交流一下

大家分享一下，UnPackMe_Exe32Pack1.42.zip 如何脱壳的。万分感谢！

sheng_dh · 发表于 2014-6-24 11:06:59

自己找了好久。
1. 查找，所有模块名称，IsDebuggerPresent
下断点：
7C813133 >  64:A1 18000000  mov    eax, dword ptr fs:[18]
2. retn 后，是如下二个命令：
004186DA 8BBD 013C4000 mov    edi, dword ptr [ebp+403C01]
004186E0 03BD 273C4000 add    edi, dword ptr [ebp+403C27]
NOP，这二个命令。也就是恢复一个跳转命令。这样，IsDebuggerPresent就解决了！！！

2.
重点是以下，因为我是看小甲鱼视频开始学习脱壳的。小甲鱼一直强调，401000是代码段。所以，这是我的第一个误区。经过仔细看了Ctrl+M内存表后才发现的。
第二个误区，是dump时rebuild Imprt必须选择Method2(我也不知道什么原因，求大神解释。“在脱壳文件中，查找DLL和API名称。可能是因为这个壳把它们也修改了的原因吧！！！！”)
而我在想为什么明明OEP找到了, dump不行呢？这是我乱试出来的~！！！！！狂叹啊！！！

请各位，鉴定。谢谢！！！！

隐袭战龙 · 发表于 2014-10-2 10:06:22

心疼鱼币啊……

843126660 · 发表于 2014-11-5 20:15:53

真是难得给力的帖子啊。

lj207 · 发表于 2014-11-6 13:42:51

支持小甲鱼{:1_1:}

sanguo · 发表于 2014-11-18 19:01:53

U币不够。努力回帖才是正道

康小泡 · 发表于 2014-11-19 22:46:03

强烈支持楼主ing……

账号		自动登录	找回密码
密码			立即注册

[脱壳篇] 脱壳篇 - 第三讲 - 实践是检验真理的唯一标准2（视频+课件+试验程序）