Red de conocimiento del abogados - Preguntas y respuestas jurídicas - ¿Qué tipo de shell agrega la versión revisada de Import Fix 1.6 AoNiao?

¿Qué tipo de shell agrega la versión revisada de Import Fix 1.6 AoNiao?

Hola a todos, ¡hoy haré un sencillo tutorial de bombardeo manual para los amigos novatos! Maestros, por favor pasen... ¡Gracias!

Lo que quiero demostrarles hoy es quitarle el caparazón a: Ah D Toolkit 2.02--D Es una versión especial de antivirus.

Las herramientas a utilizar son:

1: Peid0.94

2: Ollydbg

3: Import Fix 1.6 Aoniao Revisado versión

Bien, comencemos ahora:

Primero que nada, por supuesto, revisa el shell... Oh, ¿aún es un shell desconocido? "No se encontró nada*"

¡Qué diablos, desembolsar!

Usemos Ollydbg para cargar. Primero haga clic en "Aceptar" y luego en "No" para continuar... presione F8 para bajar,

Para que todos vean claramente, acabo de hacer clic. ¡Mira, la dirección ESP está fuera! Mira: ESP=0012FFC0,

Ingresamos: dd 0012FFC0->Entramos en la barra de comandos de abajo, y luego hacemos clic derecho debajo del valor-"Punto de interrupción-"

Acceso al hardware- 》 palabra, y luego presione F9 para ejecutar. Después de ejecutar, vaya aquí, eh, continúe... Presione F8 para un solo paso,

Mire la flecha roja que salta hacia arriba, usamos el botón derecho en. la siguiente línea - punto de interrupción - Ejecute hasta la ubicación seleccionada,

continúe bajando y aquí viene otra... Esta vez queremos ir a la cuarta línea debajo de la flecha hacia arriba, que está después de PUSH

Continúe con los mismos pasos. Continúe...y vuelva otra vez...los mismos pasos que arriba...ver `Hemos llegado a RETN...Continuar,

OK. ` ha llegado al punto de salida. Usamos: proceso de depuración y bombardeo de Ollydbg, debe recordar este valor de corrección,

Porque se usará más adelante, cópielo: C7038

Haga clic. "Descomprima" y guárdelo con cualquier nombre de archivo para que todos lo vean. Borland Delphi 6.0 - 7.0, sin shell...

Oh, pero aún no está terminado, hagamos doble clic en él para intentarlo. , no se puede ejecutar... Arreglemoslo... ejecútelo primero

El programa original descomprimido, luego pegue el C7038 que acabamos de copiar en el OEP, haga clic en "Buscar automáticamente IAT

, y luego obtenemos el formulario de entrada `Veamos" Todos son válidos`jaja`Finalmente, hacemos clic en el archivo de volcado de reparación

y seleccionamos el que acabamos de descomprimir`Ahora veamos si se puede ejecutar`

¿Cómo? Jaja, el caparazón se puede quitar y el tutorial está aquí.

¡Adiós!

上篇: Especificaciones y dimensiones de neumáticos sólidos 下篇: ¿Qué es un ISBN?