内存指令不能read,这是在电脑使用中经常出现的问题,造成的原因十分复杂,一时半会不好排除,但没关系,按确定、取消,重启,即可。感兴趣的网友可用下述办法试着去解决:
1 内存条坏了 ,更换内存条。
2 双内存不兼容 ,使用同品牌的内存或只要一条内存。
3 内存质量问题,更换内存条。
4 散热问题,加强机箱内部的散热。
5 内存和主板没插好或其他硬件不兼容, 重插内存或换个插槽。
6 硬盘有问题,更换硬盘。
7 驱动问题,重装驱动,如果是新系统,应先安装主板驱动。
8 软件损坏 ,重装软件。
9 软件有BUG ,打补丁或更新到最新版本。
10 软件和系统不兼容 ,给软件打上补丁或是试试系统的兼容模式 。
11 软件和软件之间有冲突,如果最近安装了什么新软件,卸载了试试 。
12 软件要使用其他相关的软件有问题,重装相关软件,比如播放某一格式的文件时出错,可能是这个文件的解码器有问题 。
13 病毒问题 杀毒 。
14 杀毒软件与系统或软件相冲突 由于杀毒软件是进入底层监控系统的,可能与一些软件相冲突,卸载试试 。
15 系统本身有问题 有时候 *** 作系统本身也会有BUG,要注意安装官方发行的更新程序,像SP的补丁,最好打上如果还不行,重装系统,或更换其他版本的系统。
16、试用命令解决内存不能为只读的问题,打开CMD窗口输入如下命令:
for %i in (%windir%\system32\dll) do regsvr32exe /s %i 回车;
for %i in (%windir%\system32\ocx) do regsvr32exe /s %i 回车。重启计算机就可以了。
用虚拟机玩游戏的方法!! 开3D加速!用虚拟机玩游戏的方法!! 开3D加速!
曾经用过一些不同虚拟机结果大多都不支持3D驱动,所以导致虚拟机是不能够玩游戏的!
今天给大家带来的是用虚拟机玩游戏的方法!!
虚拟机软件:VMWare虚拟机,版本最好是在55以上
硬件要求, CPU24以上,内存在512以上,512的朋友可以试试 比这个低配置的朋友就不要浪费时间了!
最好显卡是128以上的,本人的是256的显卡
虚拟机安装的系统可以是2000和XP,98好像开3D有问题,就酸把Direct X90装上也好像不行
所以建议用2000或XP
然后找到你虚拟机的扩展名为 vmx的文件 (什么,找不到吗难道你不会使用搜索 vmx啊!!!)
鼠标右击它,同时按SHIFT 它会d出一个打开方式,选择记事本, 记得下面同时有个钩"始终使用选择的程序打开这种文件"那个钩 不要 钩
然后在最开头加上这么几句
mksenable3d = TRUE
svgavramSize = 134217728
vmmousepresent = FALSE
其中svgavramSize = 134217728 的意思是为128的显卡如果是64的话就 把它改成
svgavramSize = 67108864就可以了
然后就可以打开VM的3D加速了, 但是此时有些机器可能玩不了, 进入游戏会出现一片白色
此时你就需要应用以下的补丁
下载地址:
>
重装系统前必须进行的十大备份
即便是号称目前最稳定的 *** 作系统,WinXP也会由于各种天灾人祸,如软件损坏、病毒侵袭、黑客骚扰,甚或是我们自己的误 *** 作而造成崩溃的危险在时刻威胁着我们。系统崩溃或产生了重大错误以后,最好的办法就是重装系统,但是,在重装之前,我们首先应该做哪些工作呢大家一定会说:“备份!”然而,我们应该备份哪些东西呢
一、备份硬盘数据
硬盘数据包括主引导扇区、 *** 作系统引导扇区、FAT表、DIR表等,这是计算机系统赖以正常启动的基础,因此,及时备份好硬盘数据是首要的事情。对于硬盘数据的备份,最好的方法莫过于杀毒软件了,推荐使用“瑞星”杀毒软件,因为它不仅能够备份以上的硬盘数据,而且可以让用户设定自动备份的时间。打开“瑞星”主界面后,点击“设置”按钮,选择“选项”,再点击“硬盘备份(B)”按钮,即可设定备份硬盘数据的方式。以后,“瑞星”就会按照您设定的方式自动备份硬盘数据。
如果没有“瑞星”,那么也可以用KV3000来备份,在DOS命令提示符下键入KV3000/B命令后,系统将向软盘输出两个无病毒的硬盘主引导信息文件,即HDPTDAT和HFBOOTDAT,这两个文件就是硬盘的分区表及主引导记录的信息。
注意:备份的硬盘数据只对当前硬盘分区状态有效,如果以后又对硬盘重新进行分区或调整了分区的大小,那么就应该重新备份。
二、备份注册表
注册表中存放着计算机的所有设置和各种软硬件的注册信息,所以它的重要性是不言自明的,因而及时备份注册表是一项极其重要的工作。备份方法很简单,只需在“运行”对话框中输入“Regedit”并回车,然后在“注册表编辑器”中选择“注册表”菜单下的“导出”命令就行了,当然别忘了将这个备份的注册表文件存放在非系统分区中。或者直接将C:\Windows目录中的Userdat和Systemdat两个文件复制出来也能达到备份注册表的目的。
三、备份驱动程序
重装WinXP系统后,就需安装各种硬件的驱动程序,而查找、安装各类显卡、声卡的驱动实在是一大麻烦,如果丢失了驱动光盘,那更会让我们急得如“热锅上的蚂蚁”一般。此时,“驱动程序备份专家”就能帮助我们解决这个问题,它可以快速检测计算机中的所有硬件设备,提取并备份硬件设备的驱动程序。它还附带了一个INF脚本安装器,可以简化硬件设备的安装过程,当我们需要重新安装WinXP系统时,这些提取出来的驱动程序将派上大用场。
“驱动程序备份专家”的 *** 作非常简单,只需在其主界面中点击“快速收集”按钮,选择某个硬件设备后点击“备份”按钮,再指定备份文件的存放路径及文件名,点击“开始”按钮就行了。而如果想更快捷地备份全部的驱动,那么就可以依次点击“快速收集”、“备份全部”按钮,这样,系统中所有的驱动就将被全部“克隆”出来。需要提醒的是,在备份全部驱动的过程中,请不要按任何键或按钮。
四、备份邮件帐号
许多上网的朋友都拥有多个邮件帐号,对于它们的备份工作,我们可以借助于注册表,在注册表中依次展开到HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts分支,如果OE中有五个邮件帐号,那么在Accounts键下就会有00000001~00000005五个子键。点击“Accounts键,在菜单中选择“注册表-导出”命令,在“导出范围”中选择“选择的分支”,输入备份文件名,按“确定”按钮即可将它们备份出来。
五、备份个人资料
勿庸置疑,个人资料是计算机用户最重要的数据,它包括个人文件、下载资料、个人邮件、OICQ或ICQ数据等。
对于个人文件、下载资料的备份来说,我们只需将它们复制到硬盘的非系统分区或刻录到光盘等地方就行了。
对于个人邮件的备份来说,如果使用的是Outlook Express,那么,就应该将“C:\Documents and Settings\User name\Local Settings\Application Data\Identities\{数字串}\Microsoft\Outlook Express\”目录中的“收件箱dbx”和“发件箱dbx”两个文件复制到非系统区。当然,最好是平时就将邮件位置自定义到其它地方,具体的步骤是:依次单击“工具”-“选项”-“维护”-“存储文件夹”,改为希望备份的邮件目录即可。而对于备份Foxmail邮件来说则比较简单,只需将Foxmail安装目录下的Mail子目录中的文件复制到非系统区就行了。
OICQ与ICQ的备份:对于OICQ来说,聊天记录和个人信息都存放在本地,最简单的方法就是把OICQ的安装文件夹中与自己OICQ号同名的子文件夹复制出来就行。当然,也可以利用OICQ提供的“导入”功能也能备份聊天记录。ICQ却与OICQ不同,ICQ并没有将好友名单保存在服务器中,而是保存在了客户端,因此,在重装系统后,不仅要重复键入自己的ICQ号和密码,而且还要重新输入好友们的ICQ号码进行搜索并等待他们的确认, *** 作过程极为繁琐。所以,我们应该利用第三方软件来完成备份工作,在这里,向大家推荐使用ICQ Rescue这款专门备份ICQ的免费软件,使用非常简单,并且有详细的提示,具体的 *** 作就不多说了,下载地址:>
你是指放到qq空间吗?那么播放器的格式需要是flash,如果不是的话,你可以去注册一个,播放器支持mp3,wma,flv等格式,多种皮肤选择,所以功能免费使用。
注册地址: music 80man com
NLP是研究人类经验架构组成的一套学识系统。它与以下的三大体系有着非亲非故的关系:
知识论 人类与世界互动的基本准则的常识系统。(又称意识论)包括人类从接触世界、为万物命名、至与世界互动而变更的进程。
方式论 应用上述知识的步骤与程序,burn dvd。俗称“技巧”。
高新科技 使上述技能更好达fc4cfwoman1383e4de21bac92cc980d6fc果的帮助工具。
NLP研究人的行为,研究大脑如何“指挥”身材造成相干的行为。这里面布满了人类的经验。当然,NLP的焦点是放在胜利的教训上,而非个别学术研究的“解决问题”上。这是研究方向实质的不同。从中形成一套理论体制。
NLP不满意于只是实践,由于未经实践的理论素来就不会是“真谛”。NLP对“怎么样”比“是什么”兴趣更大,对“架构”比“内容”更关注,更器重“整体”而不是“个别部门”所以,NLP很强调节论必须有做得到的办法,可以实践并得到所要的后果。同时个别局部必需以整体的完全性为依归。所有以效果为导向。因而,NLP不研究孔子理论,而是会研究孔子是如何成为孔子的。
当NLP研讨人的经验架构的时候,脑神经学的发现与冲破供给了相对的辅助。使我们得到绝对的c520c83f7equipagebbab9e8d34a05030fa6e根据。例如:脑神经递质与情感的343dfcultfa6af0f0e7d889faf76c98ed,意识与潜意识的关系,脑电波频率与催眠状况等等。第三代NLP的研究更借助了能量学的研究而对人类、动动物等有机体所构成的能量场域有了更深入的发明与了解。
NLP的71dc95ecb0bbfcardinal8b30ff8ee83c3d67思维有以下cf0778b7a455f65bdabb8cry00bottomaab点:
d85papa94e7f21c2aacb4c108191c19a4自我觉察能力
模拟自我出色的关键元素
察看关键元素的持续发铺模式
权衡关键元素的最佳实际标准
定下症结元素的最大价值化
摸索要害元素在调剂过程中所发生的其他可能性
例如:在天才的卓越模式研究中,(例如艾因斯坦)NLP研究出以下的关键元素:
1. 容许并欢送“不断定性”。
2. 对研究中呈现的抵触与抵触充斥容纳与懂得。
3. 连续性
天才、大师的卓著模式中,比拟经典的就是他们都是敢于否认“我不晓得!”的人。如催眠巨匠米顿埃力克森常常说:“我不知道。。。。。。。同时我很好奇咱们会探索出怎样的可能性。。。。。”(I dress’t undergo……and I am peculiar to discounterbalance wheadgear is doable……)
对大师来说,世事并不分正面或负面,大师总可以同时面对并保持正面与负面的事件在统一个时光与空间里面。
持续尝试未知的事物,时常跨入未知的范畴是蠢才与大师很重要的关键元素。
实践的过程中, NLP找到神经系统、语言模式如何“指挥”身体与行为,同时懂得了怎么的“程序”可以产生有效的行为或无效的行动。打开了两个可能性:
1. 人可以透过自我的发觉与自我模仿进步自己某方面的技巧,达到自我打破的效果。同时成为自己情绪跟行为的主人。
2. 透过了解f051cfbd489e08245af66d0f1give8ca的“程序”,产生有效的学习与模仿。使人可以更快捷的达到3989081cf1631ea11d6b5f5ce6giftc4d所要的效果。
所以,基础上NLP可以分为两大部分。
(一)了解人内在程序的技巧。(例如:次感元,感官类型,心锚等)
(二)各种有效行为的内在程序。(例如:树立亲和感,天才策略等)
NLP有一句名言:“找出使成功者与其余人有所差异的差别是什么?”(a1983a4d244505cf855f8224clotha7b90 the dissentences that attains the disagreement)
NLP更感兴趣的是如何做到,而不是怎么做。所以和普通的模仿和学习不同点就在这里。它对行为的“内容”并不重视,更看重的是行为背地的能力以及才能形成的架构或模式。
NLP对人做了什么决议不很大的兴致。6f36b354a8969ec5084b6apply86477512更有兴趣的是人“如何”做了这些决定。NLP不结束在你的信心、价值观是什么,mac mp4 converter,它会更ac308ca6d16a6f44b4919pleasingac148e97的探索你是如何“运用”你的信念、价值观的。这就翻开了“潜意识”的大门,使人能够自我掌控潜意识。入而到达身心合一的境界。
壳的概念:
所谓“壳”就是专门压缩的工具。
这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。
壳的作用:
1保护程序不被非法修改和反编译。
2对程序专门进行压缩,以减小文件大小,方便传播和储存。
壳和压缩软件的压缩的区别是
压缩软件只能够压缩程序
而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行
下面来介绍一个检测壳的软件
PEID v092
这个软件可以检测出 450种壳
新版中增加病毒扫描功能,是目前各类查壳工具中,性能最强的。
另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。
支持文件夹批量扫描
我们用PEID对easymailexe进行扫描
找到壳的类型了
UPX 0896 - 102 / 105 - 124 -> Markus & Laszlo
说明是UPX的壳
下面进行
步骤2 脱壳
对一个加了壳的程序,去除其中无关的干扰信息和保护限制,把他的壳脱去,解除伪装,还原软件本来的面目。这个过程就叫做脱壳。
脱壳成功的标志
脱壳后的文件正常运行,功能没有损耗。
还有一般脱壳后的文件长度都会大于原文件的长度。
即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。
关于脱壳有手动脱壳和自动脱壳
自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了
手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了
UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到
UPX本身程序就可以通过
UPX 文件名 -d
来解压缩 不过这些需要的 命令符中输入
优点方便快捷 缺点DOS界面
为了让大家省去麻烦的 *** 作 就产生了一种叫 UPX SHELL的外壳软件
UPX SHELL v309
UPX 外壳程序!
目的让UPX的脱壳加壳傻瓜化
注:如果程序没有加壳 那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。
脱完后 我们进行
步骤3
运行程序
尝试注册
获取注册相关信息
通过尝试注册 我们发现一个关键的字符串
“序列号输入错误”
步骤4
反汇编
反汇编一般用到的软件 都是 W32Dasm
W32dasm对于新手 易于上手 *** 作简单
W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版
我们现在反汇编WebEasyMail的程序文件easymailexe
然后看看能不能找到刚才的字符串
步骤5
通过eXeScope这个软件来查看未能在w32dasm中正确显示的字符串信息
eXeScope v650
更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字符串表等
新版可以直接查看 加壳文件的资源
我们打开eXeScope
找到如下字串符
122,"序列号输入错误 "
123,"恭喜您成为WebEasyMail正式用户中的一员! "
124,注册成功
125,失败
重点是122
步骤6
再次返回 w32dasm
Possible Reference to String Resource ID=00122: "鲹e"
但是双击后
提示说找不到这个字串符
不是没有 是因为 "鲹e"是乱码 w32dasm对于中文显示不是太好
毕竟不是国产软件
先把今天会用到的汇编基本指令跟大家解释一下
mov a,b ;把b的值赋给a,使a=b
call :调用子程序 ,子程序以ret结为
ret :返回主程序
je或jz :若相等则跳转
jne或jnz :若不相等则跳转
push xx:xx 压栈
pop xx:xx 出栈
栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。
我们搜索
Possible Reference to String Resource ID=00122
因为对E文支持很好
我们来到了
Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00406F17(C) //跳转来自 406F17
|
Possible Reference to String Resource ID=00125: "1%"
|
:004070DD 6A7D push 0000007D
:004070DF 8D4C2410 lea ecx, dword ptr [esp+10]
:004070E3 E8F75A1200 call 0052CBDF
Possible Reference to String Resource ID=00122: "鲹e"
|
:004070E8 6A7A push 0000007A
:004070EA 8D4C2408 lea ecx, dword ptr [esp+08]
:004070EE E8EC5A1200 call 0052CBDF
我们来到
:00406F01 8B876C080000 mov eax, dword ptr [edi+0000086C]这里是对
:00406F07 8B4C2408 mov ecx, dword ptr [esp+08]
:00406F0B 50 push eax//这两个eax和ecx入栈就比较让我们怀疑了
:00406F0C 51 push ecx//产生注册码
:00406F0D E8AE381100 call 0051A7C0//这CALL里对注册位应该会有设置
:00406F12 83C40C add esp, 0000000C
:00406F15 85C0 test eax, eax// 检测注册位
:00406F17 0F85C0010000 jne 004070DD //不存在注册位 就会跳到4070DD就会出现那个错误的字串符了
我们记住406F01这个地址
接着进行下一步
步骤7
这一步我们进行的是调试
用到的软件是ollydbg
好了我们找到了 注册码0012AF04 00FD4A10 ASCII "04893e058f9c1c9fb16764c3b86f78e6"
但是这个并不是我们的主要目的
我们还要做出属于自己的注册机
相信这个是很多人梦寐以求的事情
步骤8
制作注册机
注册机我们需要的是一个KEYMAKE的软件
因为20是演示版而且停止更新了
所以我们用173版
做一个内存注册机 需要下面几个资料
中断地址:406F0C
中断次数:1
第一字节:51
指令长度:1
好了 一个完美的注册机 就产生了
还不赶快发给你的朋友 炫耀一下
保证让他迷糊死 佩服得你要死
其实最后还有几个步骤
就是撰写破文
不过大家都是新手 这个步骤 就去了吧
不知不觉说了这么多废话 希望能对大家有些作用
如果有什么不懂 不理解的事情 请联系我 或者到论坛发贴
QQ:9595859
MSN:kcarhc@163com
今天的课程就到这里 大家赶快去动手实践吧~!
--------------------------------------------------------------------------------
-- 作者:admin
-- 发布时间:2005-10-11 11:13:00
-- 实战查壳脱壳制作破解注册机最详细的教程
大家好,我是kcarhc
今天8月1日了 刚从医院回来 正好凌晨
这期的课程做晚了 这里给大家道个歉
8月1日 如果我没记错
是建军节
既然是建军节 也要象征性的弄些东西来
为了建军节 这期我选择打击黑暗势力--黑社会
那么今天的主题就是
-----------
迎接建军节,铲除黑社会
-----------
首先介绍软件
黑社会20
[功能简介]:
1 五大必备功能
远程屏幕; 完全控制; 文件传送; Telnet; 远程关机
2 提供IP反d定位功能
可以通过静态IP动态域名,网页文件的方式反d通知IP
3 集成vidc客户端
内网的朋友想用自动上线功能,可以实现了
4 本软件集成了常用攻击工具(如OpenTelnet OpenTftp等)
通过IPC拷贝,而且带有标准的拷贝进度,全球首次面世;
opentelnet就不介绍了,相信大家都知道;
opentftp为本软件独创,可以远程开启tftp服务;
5 本软件集成的极速端口扫描器(扫描速度世界领先)
最开始我用的扫描器是大名鼎鼎的SuperScan30,感觉速度很慢;
后来改用SSPort10 扫描速度有了明显的提高
经过速度对比,本软件扫描速度比SSPort快 1/3 ,是SuperScan的N倍!!!
我的机器是 赛扬700+256M内存,一般扫描速度为180台/秒;
一些号称可以达到1000台/秒的扫描器在本机上试验只有120台/秒
--------------------
准备工作:
安装黑社会
--------------------
步骤一 查壳
Peid v092
ASPack 212 -> Alexey Solodovnikov、
--------------------
步骤二 脱壳
手动脱壳
快速脱掉ASPACK所有版本的方法
的OEP关键点在下面
0048D3AF 61 POPAD
0048D3B0 75 08 JNZ SHORT 黑社会0048D3BA
0048D3B2 B8 01000000 MOV EAX,1
0048D3B7 C2 0C00 RETN 0C//402c4a
0048D3BA 68 00000000 PUSH 0
402ca4就是我们要找的OEP
自动脱壳
AspackDie v141
这是一个小小的 PE 文件解压缩器 (EXE, DLL, ) 她可以解压缩
自 Aspack 2000 以后的任何 Aspack 版本 包括:
- Aspack 2000
- Aspack 2001
- Aspack 21
- Aspack 211
- Aspack 211c/d
- Aspack 212
- Aspack 212a/b
- 一些未知的版本
-------------------
步骤三 试运行程序 发现突破点
看到关键字符串
“注册码错误!”
-------------------
步骤四 W32DASM 寻找突破点
用w32dasm载入已经脱壳的程序
字符串察看
未发现 字符串 而是发现一堆乱码
大家于是一定想到了第一节的办法
用EXESCOPE
-------------------
步骤四 察找 字符串
打开eXeScope 并载入 但是发现 都没有字符串
这项
为啥呢?大家一定会疑问
一般用eXeScope查不到
我们将开始
-------------------
步骤五 查询软件的编译类型
Peid v092
Microsoft Visual Basic 50 / 60
--------------------
步骤六 采用GetVBRes v051 对付VB程序
GetVBRes v051 一个非常好的VB汉化工具
对于VB程序 我们用专门汉化用的GetVBRes v051来对付它
也许有人不理解 为啥用汉化工具呢
其实eXeScope也属于汉化工具
GetVBRes载入黑社会
发现没有乱码了
看到的全是完整的字符
我们找到了
注册码错误!
这个字符串
接着为了能搞到程序关键点地址
我们把“注册码错误!”
改成111111
为啥改成111111因为111111111
保存修改
---------------------
步骤六 用W32Dasm载入修改后的文件
发现字符串中有111111
那个就是我们修改的 原来是“注册码错误!”
Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004792EF(C)
|
:00479474 B904000280 mov ecx, 80020004
:00479479 B80A000000 mov eax, 0000000A
:0047947E 894D9C mov dword ptr [ebp-64], ecx
:00479481 894DAC mov dword ptr [ebp-54], ecx
:00479484 894DBC mov dword ptr [ebp-44], ecx
:00479487 8D5584 lea edx, dword ptr [ebp-7C]
:0047948A 8D4DC4 lea ecx, dword ptr [ebp-3C]
:0047948D 894594 mov dword ptr [ebp-6C], eax
:00479490 8945A4 mov dword ptr [ebp-5C], eax
:00479493 8945B4 mov dword ptr [ebp-4C], eax
Possible StringData Ref from Code Obj ->"1111111" //刚才我们看到的注册吗错误的哦
|
:00479496 C7458C98194100 mov [ebp-74], 00411998
:0047949D C7458408000000 mov [ebp-7C], 00000008
发现跳转来自到4792EF
安照习惯 我们来到4792EF后 接着向前看
看到一个跳到这里的那个地址
这里是40928C
Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00479278(C)
|
:0047928C 8B55E4 mov edx, dword ptr [ebp-1C]
Reference T MSVBVM60__vbaStrMove, Ord:0000h
|
:0047928F 8B3578124000 mov esi, dword ptr [00401278]
:00479295 8D4DE0 lea ecx, dword ptr [ebp-20]
:00479298 895DE4 mov dword ptr [ebp-1C], ebx
:0047929B FFD6 call esi
:0047929D 8B4DE8 mov ecx, dword ptr [ebp-18]
:004792A0 6A01 push 00000001
:004792A2 8D55E0 lea edx, dword ptr [ebp-20]
:004792A5 51 push ecx
:004792A6 52 push edx
:004792A7 E8440F0000 call 0047A1F0
:004792AC 8BD0 mov edx, eax
:004792AE 8D4DDC lea ecx, dword ptr [ebp-24]
:004792B1 FFD6 call esi
:004792B3 50 push eax
:004792B4 53 push ebx
Reference T MSVBVM60__vbaInStr, Ord:0000h
|
:004792B5 FF15E8114000 Call dword ptr [004011E8]
:004792BB 8BF0 mov esi, eax
:004792BD 8D45E8 lea eax, dword ptr [ebp-18]
:004792C0 F7DE neg esi
:004792C2 8D4DDC lea ecx, dword ptr [ebp-24]
:004792C5 50 push eax
:004792C6 1BF6 sbb esi, esi
:004792C8 8D55E0 lea edx, dword ptr [ebp-20]
:004792CB 51 push ecx
:004792CC 52 push edx
:004792CD F7DE neg esi
:004792CF 6A03 push 00000003
:004792D1 F7DE neg esi
Reference T MSVBVM60__vbaFreeStrList, Ord:0000h
|
:004792D3 FF150C124000 Call dword ptr [0040120C]
:004792D9 8D45D4 lea eax, dword ptr [ebp-2C]
:004792DC 8D4DD8 lea ecx, dword ptr [ebp-28]
:004792DF 50 push eax
:004792E0 51 push ecx
:004792E1 6A02 push 00000002
Reference T MSVBVM60__vbaFreeObjList, Ord:0000h
|
:004792E3 FF1548104000 Call dword ptr [00401048]
:004792E9 83C41C add esp, 0000001C
:004792EC 663BF3 cmp si, bx
:004792EF 0F847F010000 je 00479474
我们在
004792AC看到下面这些
EAX=0015A47C, (UNICODE "1000464401458371268751252821609291844811465000")
EDX=00000000
怀疑EAX为的
1000464401458371268751252821609291844811465000
为注册码
------------------
步骤七 用不确定正确的注册 尝试注册
用
1000464401458371268751252821609291844811465000
这个注册后
我们发现 注册成功
------------------
步骤八 制做注册机
Keymake v173
中断地址:4792AC
中断次数:1
第一字节:8B
指令长度:2
------------------
步骤九 发布注册机
找一个网站比如黑基或者你的朋友之间
------------------
步骤十 休息
黑社会终于干掉了
现在去找你的男朋友或者女朋友
老公或者老婆
找个地方聊聊天 放松放松
告诉他们 你刚刚把黑社会 摆平了
一定很有趣的
------------------
课程结束
------------------
有事情大家可以去论坛
不过你如果性子急
或者嫌我回复的速度慢
我建议你直接联系我
只要我在 基本可以马上给你解答
不在可以留言
我的两个****
QQ:9595859
MSN:kcarhc@163com
最后 说一个事
我的女朋友最近生病了
所以才导致这期的课程 这么晚才做出来
希望大家能理解我
我还希望大家能祝福她早日康复
不然的话
你们见到我的日子可能会少了
甚至可能会消失在你们眼前
好了不说了 今天就是到此OVER吧
---------- kcarhc
2004年8月1日 凌晨 沈阳
--------------------------------------------------------------------------------
-- 作者:admin
-- 发布时间:2005-10-11 16:42:00
-- 使用OllyDbg快速脱壳
作者:KU-凌
目标:采用ASPACK、UPX加壳的NOTEPADEXE
工具:OllyDbg 109英文版、DUMP插件、PEditor
系统:Win98SE
关键词: 脱壳、OllyDbg、OD、DUMP、PUSHAD、POPAD
预备知识
大多数壳都有一个共同的特点。在壳准备开始解压时都要执行PUSHAD,当壳解压
完时都要调用POPAD。到底PUSHAD和POPAD是什么干什么用的呢?其实PUSHAD是用来将
所有普通寄存器顺序进栈的指令,POPAD是所有普通寄存器顺序出栈指令。POPAD的出
栈顺序和PUSHAD相反。壳为了保护寄存器,便在解压前将所有寄存器进栈保护起来,
当解压完成后又将寄存器出栈,恢复其原貌,并将IP设置为原程序的OEP。这样我们就可以通过这个特点快速脱掉多种软件的壳。
ASPACK篇
先用ASPACK将NOTEPADEXE加壳。用OllyDbg(以下简称OD)载入。看见光标停在
壳的入口处。
0040D001 > 60 PUSHAD ;壳的入口。准备开始解压,保护寄存器
0040D002E8 03000000CALLNOTEPAD0040D00A
……
我们不管它,直接向下翻页找POPAD指令。在40D3AF处找到POPAD
……
0040D3AF61 POPAD ;解压完成,恢复寄存器
0040D3B075 08 JNZSHORT NOTEPAD0040D3BA
0040D3B2B8 01000000MOVEAX, 1
0040D3B7C2 0C00RETN0C
0040D3BA68 CC104000PUSHNOTEPAD004010CC ;返回到原程序OEP处
0040D3BFC3 RETN
……
选定40D3AF这一行,F4运行到此处。在这里说明壳已经完成解压工作。并且返回到原
程序的入口处。F8单步到4010CC,这里便是原程序的OEP。用DUMP插件直接DUMP出来就可以了(在DUMP时注意将入口点改为10CC,即4010CC-400000=10CC,400000是映象基地址)。文件大小是77059字节,用PEditor重建PE头便可以了。未压缩的文件大小是53248字节,脱壳后的文件大小是60930字节。
UPX篇
用UPX将NOTEPADEXE加壳,然后用OD载入。停在PUSHAD处,用脱ASPACK同样的方
法,向下翻页找POPAD。
……
0040E9FE61 POPAD
0040E9FF - E9 C826FFFFJMPNOTEPAD004010CC
……
下面的JMP就是跳转到程序的OEP处。F4到40E9FF处,F8单步一下,来到OEP处,DUMP出来。DUMP文件的大小是65536字节,直接就可以运行。为了完美,用PEditor重建PE头。那么脱壳后的文件大小是60293字节。
后记
用上面说的方法,很多种壳都可以快速的手动脱掉。如果你没有OD的DUMP插件,
可以到新论坛的下载区找。如果实在没有,也可以直接停在OEP处用PEDump来DUMP。很久没有写东西了。这一篇是写给初学者练手的。其实壳也是软件,再怎么复杂都有可能被脱下来。祝你好运。
另外,转载时请保持本文的完整。
--------------------------------------------------------------------------------
-- 作者:admin
-- 发布时间:2005-10-11 17:10:00
-- 用Ollydbg手脱EncryptPE V12003518加壳的DLL
有兄弟让看看EncryptPE加壳的DLL,我说新版的就不行了,搞不定的。后来看是EncryptPE V12003518旧版加壳的,应该用的是老王老师发布的免费版。呵呵,所以脱了一下,顺便记录过程。
大家可以自己用EncryptPE V12003518免费版加个EdrLibdll看看。
—————————————————————————————————
一、避开IAT加密
设置Ollydbg忽略所有的异常选项。用IsDebug 14插件去掉Ollydbg的调试器标志。
添加“同时忽略0EEDFADE、C0000008、009B25C、00953D74”异常。
代码:--------------------------------------------------------------------------------
00877000 60 pushad//进入OD后停在这
00877001 9C pushfd
00877002 64:FF35 00000000 push dword ptr fs:[0]
00877009 E8 79010000 call EdrLib00877187
--------------------------------------------------------------------------------
下断:BP IsDebuggerPresent 断下后取消断点
现在我们Ctrl+G:711A0000
为何用这个地址?因为V12003518EPE是相同的。呵呵,钻了个旧版的空子。
其实可以再BP GetProcAddress,根据返回地址来判断。如果返回地址是711XXXXX,说明这是V12003518EPE的调用,就可以取消断点Ctrl+F9返回了。具体情况以堆栈的返回地址为准。
现在Ctrl+S 在“整个区段”搜索命令序列:
代码:--------------------------------------------------------------------------------
mov eax,edi
mov edx,dword ptr ss:[ebp-8]
mov dword ptr ds:[eax],edx
xor eax,eax
--------------------------------------------------------------------------------
找到在711A339F处,我们在711A339F处下个 硬件执行 断点。
现在我们关闭Ollydbg,重新载入这个dll,直接Shift+F9运行,中断在711A339F处
代码:--------------------------------------------------------------------------------
711A339F 8BC7 mov eax,edi
711A33A1 8B55 F8 mov edx,dword ptr ss:[ebp-8]
//改为: mov edx,dword ptr ss:[ebp-4] ★ 正确函数写入
711A33A4 8910 mov dword ptr ds:[eax],edx
711A33A6 33C0 xor eax,eax
711A33A8 5A pop edx
711A33A9 59 pop ecx
711A33AA 59 pop ecx
711A33AB 64:8910 mov dword ptr fs:[eax],edx
711A33AE EB 0A jmp short V1200351711A33BA
--------------------------------------------------------------------------------
把711A33A1处修改好之后,取消以前下的711A339F处的断点。
再Ctrl+S搜索命令序列:
代码:--------------------------------------------------------------------------------
add ebx,4
mov eax,dword ptr ss:[ebp-4C]
add eax,4
--------------------------------------------------------------------------------
找到在711A43C2处,我们在下面xor eax,eax的711A4401下断。Shift+F9运行
代码:--------------------------------------------------------------------------------
711A43C2 83C3 04 add ebx,4
711A43C5 8B45 B4 mov eax,dword ptr ss:[ebp-4C]
711A43C8 83C0 04 add eax,4
711A43CB 8945 B4 mov dword ptr ss:[ebp-4C],eax
711A43CE 8B03 mov eax,dword ptr ds:[ebx]
711A43D0 85C0 test eax,eax
711A43D2 0F87 39FDFFFF ja V1200351711A4111
711A43D8 A1 74C71B71 mov eax,dword ptr ds:[711BC774]
711A43DD 8038 00 cmp byte ptr ds:[eax],0
711A43E0 75 1F jnz short V1200351711A4401
711A43E2 8B45 C4 mov eax,dword ptr ss:[ebp-3C]
711A43E5 83C0 14 add eax,14
711A43E8 8945 C4 mov dword ptr ss:[ebp-3C],eax
711A43EB 8B45 C4 mov eax,dword ptr ss:[ebp-3C]
711A43EE 8378 0C 00 cmp dword ptr ds:[eax+C],0
711A43F2 76 0D jbe short V1200351711A4401
711A43F4 8B45 C4 mov eax,dword ptr ss:[ebp-3C]
711A43F7 8378 10 00 cmp dword ptr ds:[eax+10],0
711A43FB 0F87 38FCFFFF ja V1200351711A4039//循环处理IAT
711A4401 33C0 xor eax,eax//此处下断! ★
--------------------------------------------------------------------------------
当我们中断在711A4401处时IAT已经处理完毕,此时就可以用ImportREC得到正确的输入表了。
因为EncryptPE后面有自校验,所以我们返回711A33A1处,点右键->撤销选择,恢复原来的代码。
—————————————————————————————————
二、得到重定位表信息、获得OEP
Ctrl+S 在“整个区段”搜索命令序列:
以上就是关于''0x0bab92cc''指令引用的"0x03e0f4d4"内存.不能read!!!!!!!!!!!!!!!!!!!!!!!是怎么的啊 谢谢告诉我哈全部的内容,包括:''0x0bab92cc''指令引用的"0x03e0f4d4"内存.不能read!!!!!!!!!!!!!!!!!!!!!!!是怎么的啊 谢谢告诉我哈、关于虚拟机开3D游戏```、重装系统后,应用程序如何恢复等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)