hzl1138211792 发表于 2019-7-17 18:04

难寻。 发表于 2019-7-17 18:04

680 KB (696,320 字节)   45ECF7入口 内存运行捡100是100爱判断啥判断啥吧

天生而独秀 发表于 2019-7-17 18:24

本帖最后由 天生而独秀 于 2019-7-17 18:29 编辑


难度也就仅次于壳,不会弄弄gif图片。。。

hzl1138211792 发表于 2019-7-17 18:27

hzl1138211792 发表于 2019-7-17 18:34

hzl1138211792 发表于 2019-7-17 18:55

hzl1138211792 发表于 2019-7-17 20:00

安林 发表于 2019-7-18 14:21


方案跟我之前
https://www.52hb.com/thread-42988-1-1.html
差不多
0045F8E0 >8B4424 0C       mov eax,dword ptr ss:         ; 解压数据

安林 发表于 2019-7-18 14:24

本帖最后由 2730345665 于 2019-7-18 18:28 编辑

一个壳欺骗就解决了{:6_225:}这里的壳指的是cmd.exe不是软件的壳

安林 发表于 2019-7-18 14:46

本帖最后由 2730345665 于 2019-7-18 18:49 编辑

又换了个方式试了下(第一次直接用习惯的方式弄得 想分析下试试 因为第一次OD都没开。。。)
这次我。。打开软件 附加 到401000 右键 脱壳 然后PE直接提取就有。。第一次 0045F8E0这个地址 是直接镜像的时候开了个释放检测 内容如下
来自write.exe程序在其0045F8E0尝试解压数据到系统目录(可能是一种壳程序)是否保存其解压的数据
我点了是。。。。就存出来了

页: [1] 2
查看完整版本: 关于提取exe的cm哦,你如果玩过你就赚啦!!!