ExeInfo PE ver. 0.0.2.3 by A.S.L ( c ) 2006.03 - 2009.xx
脱壳后90多MB!!!查区段信息,吓死人。
第二个区段VA=06109000
难怪会有这么大!
00517A84 55 PUSH EBP
00517A85 8BEC MOV EBP,ESP
00517A87 B9 07000000 MOV ECX,7
IAT 的RVA和SIZE:
065348E800000000
065348EC770F4880oleaut32.SysFreeString
065348F0771244ADoleaut32.SysReAllocStringLen
065350407C92DCAEntdll.ZwSetInformationThread
0653504400000000
OEP:117a84
IAT->RVA=61348ec size=758
00517B43 调用锁鼠标函数 ,直接Nop掉。
00517be2 锁鼠标 ,要nop掉。
005020BD . /0F87 09010000 JA dumped_.005021CC 没有实现,接下来程序退出
005020C3 . |FE05 50AB5100 INC BYTE PTR DS:
005020BD 直接改为jmp程序可以运行。 不错不错,学习一下。 什么东西...我没看懂 这鸟东东,更新蛮快,加了一个sign
508 了
在这个508版本中,脱壳后不会锁鼠标了。但是依然会提示:exeinfo was corrupted -please download new version!
5月25号508sign新版,不会锁鼠标
00517B40|. /EB 01 JMP SHORT 508_unpa.00517B43 ;新版这里不跳过去锁鼠标啦
00517B42||E1 DB E1
00517B43|> \8B0D ACB05100 MOV ECX,DWORD PTR DS: ;508_unpa.0052F38C
……
00517BDA|. /EB 01 JMP SHORT 508_unpa.00517BDD
00517BDC||E9 DB E9
00517BDD \E8 BAA4FEFF CALL 508_unpa.0050209C ;新版,在这里效验,上面的DB E9可以作为定位标志,把这个Call Nop掉。
否则会锁定text box
并且提示:exeinfo was corrupted -please download new version! 我VISTA下运行不起来。。只看到个狂占CPU的进程 锁鼠标那里1改0就可以~
页:
[1]