PE直接提取DLL就可以了。他的验证和功能都在外部DLL上。
特征码:
83 C4 ?? 89 45 ?? 8B D8 8B F8 33...
我补及下吧!我给他们系列是
14C15C 对应是 84 (属于C系列)
168158 对应是 88 (属于8系列)
搜不到88就跑去84是段首,或平衡试试,这是没有被作者用OD动手脚的情况下。有些是作者看了我的教程去用OD动手脚的,是不行的,总之随机应变,找不到点就用遍历菜单窗口,send去VM那边给它平衡。mov eax,1不用补码,这10012771 .55 push ebp
10012772 .8BEC mov ebp,esp
10012774 .81EC 58010000 sub esp,0x158
这是解码段区里面,你要补码也是到登陆CALL,VM哪里去补,赋值eax非零就可以了,易语言就是非零即真。而你这里直接修改mov eax,1,retn。就可以了,不需要多余的赋值。
没有功能可能是,EXE你还没提取到验证DLL的KEY或缺少了功能文件! DLL的不加壳你可以不提取,直接逆向EXE,让它释放文件,再破DLL。这样是为了确保DLL的完整性。逆向后的DLL提示什么信息,看看有没有含别的验证等等。。。 颜角的睫毛溺水 发表于 2016-10-18 14:31
没有功能可能是,EXE你还没提取到验证DLL的KEY或缺少了功能文件! DLL的不加壳你可以不提取,直接逆向EXE, ...
我到VM地方补码么?
页:
1
[2]