无忧启动论坛

标题: 二个困惑,求解,在线等! [打印本页]

作者: godant 时间: 2004-4-16 09:16
标题: 二个困惑,求解,在线等!
[UploadFile=34_1624.rar]一,如何能写入"最小化到托盘"的批文?
二,这是一桌面工具,想汉化,但发现其资源被加密.试了几种脱壳工具都未能所愿.

作者: pizigao 时间: 2004-4-16 10:50
标题: 二个困惑,求解,在线等!
[UploadFile=34_1624_1.bmp]这是什么程序啊？有完整的吗？或者是下载地址！！

作者: godant 时间: 2004-4-16 11:29
标题: 二个困惑,求解,在线等!
[UploadFile=34_1624_2.rar]哦!对不起,忘了.现补上.
这是跟EXPLORER差不多的桌面,名称:ASTON,主要是占用资源少.打算放入PE.我不把其它放入,是怕如点另二个文件,会立即导入注册表,可能引起启动错误,如要这软件,可到这下载:http://www.vipcn.com/SoftDown.asp?ID=9188&lbID=1

作者: pizigao 时间: 2004-4-16 11:36
标题: 二个困惑,求解,在线等!
我先看看吧！等dzy（“碴哥”）来了，看他有何高见！！

作者: 未注册用户 时间: 2004-4-16 14:42
标题: 二个困惑,求解,在线等!

下面引用由pizigao在 2004/04/16 11:36am 发表的内容：
我先看看吧！等dzy（“碴哥”）来了，看他有何高见！！

顶
看他有何高见

作者: dzy 时间: 2004-4-16 15:58
标题: 二个困惑,求解,在线等!
大家好：
你说的那个文件是经过 ASProtect 1.2x 保护的！
建议：
1。试试TRW2000+superBPM
2。在NT下用stripper_v2.07
（AsprStripperXP1.25
AsprStripperXP1.35
stripper_v207f
stripper_v203_public）
3。在98下，我是先用peid 0.92找到软件的OEP,然后用OllyDbg v1.09从内存中Dump出程序，最后用ImportREC v1.6重建Import表。
此壳ASProtect 很厉害！
（具有压缩资源，反调试程序保护，自我校检保护，注册密钥，试用保护等功能）
工具脱壳的成功性不大（aston 这么牛B的东西，很有可能加保护），建议手动脱壳！

这种被压缩或加密的PE文件，执行时，在内存中将会完全解压。其中import表在装载中也会被完全解压或解密（—攻击点）。其中抓取import表就很关键了，其具体位置，可用 Procdump分析文件头得到。然后，要跟踪程序完全解压后的跳到程序处的入口点，然后在内存里dump取程序的整个部分。将刚dump取的正确import表用十六进制工具粘贴到完全dump的程序，再修正文件头，这样程序就可正常运行。
大致步骤：
1。分析原文件的PE头
2。抓取import table
3。Dump整个程序并修正文件头

作者: pizigao 时间: 2004-4-16 16:04
标题: 二个困惑,求解,在线等!
学习~~

作者: dzy 时间: 2004-4-16 16:12
标题: 二个困惑,求解,在线等!
[UploadFile=34_1624_7.gif]........

作者: godant 时间: 2004-4-16 17:50
标题: 二个困惑,求解,在线等!

下面引用由dzy在 2004/04/16 03:58pm 发表的内容：
大家好：
你说的那个文件是经过 ASProtect 1.2x 保护的！
建议：
1。试试TRW2000+superBPM
...

谢谢!你说得头头是道,想必已解开了?你说的手工,是指?怎做,请指教.
还有那批文,怎样,可以吗?完全隐藏更好.就象TASKMGR那样.

作者: dzy 时间: 2004-4-16 19:53
标题: 二个困惑,求解,在线等!

下面引用由godant在 2004/04/16 05:50pm 发表的内容：
谢谢!你说得头头是道,想必已解开了?你说的手工,是指?怎做,请指教.
还有那批文,怎样,可以吗?完全隐藏更好.就象TASKMGR那样.

先请问你有汇编语言的基础吗？
（也就是看懂汇编指令意义）？
懂的话就好办了，下载上面洒家提到的工具去

分析指令

作者: godant 时间: 2004-4-16 20:36
标题: 二个困惑,求解,在线等!

下面引用由dzy在 2004/04/16 07:53pm 发表的内容：

一点点,不太全明,但我试过好几种方法都不行.

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)