Pass
pklong008
这个作者很懒,什么都没留下…
展开
-
Obsidium 1.3重定位修复(不用补区段)
Obsidium 1.3重定位修复(不用补区段)最近在看OB的脱壳教程,(天草壳世界),还有ximo的OB教程,今天利用空余时间,终于把程序修复成功,记录如下:找到VirtualAlloc,VirutalProtect,利用这几个函数来找到重定位的地方,然后把重定位处理的代码用xor来代替.到伪OEP,然后把重定位的整转载 2015-08-07 16:11:03 · 1417 阅读 · 0 评论 -
Enigma Protector脱壳学习记录
Enigma Protector脱壳学习记录空间步聚:1:由于ENG这个壳是由一个DLL来实现加壳,因此F2断点很容易被检测,所以下二次断点,第一次下VirtualAlloc下断,断下后在401000处下硬件写入断点,断下,找到解码的地方,然后F2到这个写入函数的RETN处,执行,然后查DELPHI第一个CALL,发现有些CALL还没解码转载 2015-08-07 16:11:59 · 8593 阅读 · 0 评论 -
TestMessageBox 手动添加API
因为要手工导入API,因此先定位到IAT:IMPORT_DIRECTORYRVA:3778size:8c处在rdata(rva:3000,大小cf4),文件偏移(1600,大小e00)相对区段偏移:3778-3000=778,那么实际文件FOA:1600+778=1d78由于原来所在的IAT表不足以容纳新增的API,因此新增一个区段:(加一个导入函数即加一个import转载 2015-08-07 16:15:09 · 434 阅读 · 0 评论