不清楚这个SDP究竟是什么版本,总之不是以前碰过的那个J。用的是修改版的OllyDbg 110,OllyScript 0.92。
1. 测试
事先已经知道是用SDP做的,想看看是否为双进程版本。直接运行,用LoadPE只看见一个进程。用OD加载,因为Single Step Event停在这里:
在IDA中的EP是5E2000,而且不象ExeCryptor,没有TLS Callback Function。修改OD设置:
停在ntdll中。再对5E2000下断,可以停下。清除该断点,不忽略所有异常,用IsDebuggerPresent隐藏OD,F9运行。
直接运行,用WinHex搜索,用什么版本保护的?文件头中的标记:
提示信息:
不会是破解版本吧,或许注册版本也有这个?
1 2 3 4 5 6 下一页
安全中国首页 > 文章中心 > 脱壳技术