首页
论坛
课程
招聘
[求助]lordPE不能提取全部进程的问题
2006-7-14 15:13 8624

[求助]lordPE不能提取全部进程的问题

2006-7-14 15:13
8624
在使用lordPE过程中发现一个问题,我要用这个软件给一个进程脱壳的时候,结果在进程列表中无法找到想找到的这个进程。我想要找的进程在OD中,经过我一系列的脱壳,已经进入到了程序的入口点。
  这个时候把我lordPE打开想找到这个进程,并在lordPE中把他脱壳,之后在importREC中把它的IAT修改一下,生成脱壳之后的可执行文件。但在lordPE中都无法找到这个进程,使我下面的工作无法开展。
  被OD中调试的程序是一个经过一个EZIP1.0加壳的记事本。我也同也发现lordPE,对于其它一些在任务管理器中可以看到的进程,在lordPE中也无法查找到。
请问各大侠,有什么办法可以解决这个问题。

安卓应用层抓包通杀脚本发布!《高研班》2021年6月班开始招生!

收藏
点赞0
打赏
分享
最新回复 (16)
雪    币: 59
活跃值: 活跃值 (53)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2006-7-14 16:05
2
0
LordPE
-> F5
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rockyou 活跃值 2006-7-14 16:14
3
0
事先声明,我很菜。
用LordPE脱壳后的不是应用程序,这时候如何修复他的IAT呢?用OD加载后,可以修复IAT,可是又不能用LordPE来DUMP,到底这两个过程如何统一啊?
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rockyou 活跃值 2006-7-14 16:39
4
0
我发觉自己太笨了,现在知道怎么做了。可是用ImportSEC,点了fix后,ImportSEC自己出错退出了,这下我就不知道咋办了。
请问楼主你解决你的问题了吗?
雪    币: 59
活跃值: 活跃值 (53)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2006-7-14 16:44
5
0
fix时ImportREC会出错退出?
啥壳
截图看看
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rockyou 活跃值 2006-7-14 18:05
6
0
真是不好意思,我还以为没人理呢。帮我看看吧:
用LORDPE DUMP后,得到一个dumped文件,这时候,我没关OD,直接打开ImportSEC,填好OEP,自动得到IAT,检查了一下,IAT和手动得到的一样。然后获得IAT,全部为YES,然后修复,结果就得到一个IMPORTSEC的错误框,IMPORTSEC自己也退出了。对不起,我没权限上传图片(都做好了才发现的)。
对了,壳是ASProtect 2.1x SKE -> Alexey Solodovnikov
程序是shoooo那篇很出名的文章中的软件nSpack,看起来还是很容易脱的,可我怎么就试不成功呢?
雪    币: 59
活跃值: 活跃值 (53)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2006-7-14 18:09
7
0
ImportREC修复时选择的是dump.exe
随便找个临时空间放图片
http://www.sendspace.com
雪    币: 236
活跃值: 活跃值 (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
邪秀才 活跃值 2 2006-7-14 19:53
8
0
我也是新手,建议你先从简单的壳开始学起,一开始就学ASPR的猛壳,呵呵,有很多问题自己都不知道为什么,只是建议~!~
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rockyou 活跃值 2006-7-14 20:46
9
0
我确实是选的那个dumped,但还是会出错,系统是2000。
现在我在XP+SP2试了下,不出错了,但脱壳后还是运行不了。
我觉得可能是IMPORTSEC兼容性有问题吧,我那个是2000无SP
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rockyou 活跃值 2006-7-14 21:19
10
0
在XP下用ImportSEC能够正确地修复IAT,但是运行不成功。用0D载入:发现一个奇怪的东西:
00537000                      9C                    pushfd
00537001                      60                    pushad
00537002                      68 00000000           push 0
00537007                      8B7424 28             mov esi,dword ptr ss:[esp+28]
0053700B                      BA AE7C5300           mov edx,dumped_.00537CAE
00537010                      FC                    cld
00537011                      FF15 88724A00         call dword ptr ds:[<&kernel32.GetCurrentThr>; kernel32.GetCurrentThreadId
00537017                      89C3                  mov ebx,eax
00537019                      B9 00010000           mov ecx,100
0053701E                      89D7                  mov edi,edx
00537020                      F2:AF                 repne scas dword ptr es:[edi]
00537022                      74 0D                 je short dumped_.00537031
00537024                      B8 00010000           mov eax,100
00537029                      91                    xchg eax,ecx
0053702A                      89D7                  mov edi,edx
0053702C                      F2:AF                 repne scas dword ptr es:[edi]
0053702E                      895F FC               mov dword ptr ds:[edi-4],ebx
00537031                      89FD                  mov ebp,edi
00537033                      29D7                  sub edi,edx
00537035                      C1E7 04               shl edi,4
00537038                      8DBC3A C0030000       lea edi,dword ptr ds:[edx+edi+3C0]
0053703F                      89F3                  mov ebx,esi
00537041                      2B1C24                sub ebx,dword ptr ss:[esp]
00537044                      AC                    lods byte ptr ds:[esi]
00537045                      00D8                  add al,bl
00537047                      34 50                 xor al,50
00537049                      C0C0 04               rol al,4
0053704C                      04 1B                 add al,1B
0053704E                      C0C8 05               ror al,5
00537051                      34 A3                 xor al,0A3
00537053                      D0C8                  ror al,1
00537055                      34 05                 xor al,5
00537057                      00C3                  add bl,al
00537059                      0FB6C0                movzx eax,al
0053705C                      FF2485 AE785300       jmp dword ptr ds:[eax*4+5378AE]//这里跟踪很多遍,都是跳到0053726B处
00537063                      D9EC                  fldlg2
00537065                      ^ E9 DAFFFFFF           jmp dumped_.00537044然后。。。。
00537266                    ^\E9 D9FDFFFF           jmp dumped_.00537044
0053726B                      AC                    lods byte ptr ds:[esi]
0053726C                      00D8                  add al,bl
0053726E                      34 50                 xor al,50
00537270                      C0C0 04               rol al,4
00537273                      04 1B                 add al,1B
00537275                      C0C8 05               ror al,5
00537278                      34 A3                 xor al,0A3
0053727A                      D0C8                  ror al,1
0053727C                      34 05                 xor al,5
0053727E                      00C3                  add bl,al
00537280                      8F0487                pop dword ptr ds:[edi+eax*4]
00537283                   ^ E9 BCFDFFFF           jmp dumped_.00537044 //注意这里

后面的代码好像是个跳转表,都是跳回去的。

00537288                      D80C24                fmul dword ptr ss:[esp]
0053728B                    ^ E9 B4FDFFFF           jmp dumped_.00537044
00537290                      DB2C24                fld tbyte ptr ss:[esp]
00537293                    ^ E9 ACFDFFFF           jmp dumped_.00537044
00537298                      5A                    pop edx
00537299                      0F22E2                mov cr4,edx
0053729C                    ^ E9 A3FDFFFF           jmp dumped_.00537044
005372A1                      0F20F9                mov ecx,cr7
005372A4                      51                    push ecx
005372A5                    ^ E9 9AFDFFFF           jmp dumped_.00537044
005372AA                      66:0FA0               push fs
005372AD                    ^ E9 92FDFFFF           jmp dumped_.00537044
005372B2                      5A                    pop edx
005372B3                      66:26:FF32            push word ptr es:[edx]
005372B7                    ^ E9 88FDFFFF           jmp dumped_.00537044
005372BC                      5A                    pop edx
005372BD                      66:59                 pop cx
005372BF                      36:880A               mov byte ptr ss:[edx],cl
005372C2                    ^ E9 7DFDFFFF           jmp dumped_.00537044
005372C7                      66:5A                 pop dx
005372C9                      66:58                 pop ax
005372CB                      66:59                 pop cx
005372CD                      66:F7F9               idiv cx
005372D0                      66:50                 push ax
005372D2                      66:52                 push dx
005372D4                    ^ E9 6BFDFFFF           jmp dumped_.00537044
全都是跳回去的。为啥这个两个硬跳转老这样一直跳来跳去,依稀跳不出来啊。上面取得当前进程ID,是不是拿来做校验用啊,如果是这样,该如何修复呢?
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rockyou 活跃值 2006-7-15 11:19
11
0
而且用PEID查看这个脱壳后的程序,显示是VC6(简写哈),运行没有任何反应,也不报错,到底是怎么回事呢?
雪    币: 226
活跃值: 活跃值 (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
openworld 活跃值 2006-7-25 17:23
12
0
最初由 邪秀才 发布
我也是新手,建议你先从简单的壳开始学起,一开始就学ASPR的猛壳,呵呵,有很多问题自己都不知道为什么,只是建议~!~


还好了,也脱过不过少壳子了。只是脱这个EZIP1.0的壳时候,用lordpe出现了点问题
雪    币: 226
活跃值: 活跃值 (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
openworld 活跃值 2006-7-25 17:26
13
0
最初由 fly 发布
fix时ImportREC会出错退出?
啥壳
截图看看


我刚从云南大理出差回来。我做一个更详细的报告,拿出来大家一起讨论。谢谢各位网友们的热心帮助
雪    币: 59
活跃值: 活跃值 (53)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2006-7-25 18:26
14
0
再试试用PETools来dump
雪    币: 226
活跃值: 活跃值 (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
openworld 活跃值 2006-7-26 16:07
15
0
最初由 rockyou 发布
我发觉自己太笨了,现在知道怎么做了。可是用ImportSEC,点了fix后,ImportSEC自己出错退出了,这下我就不知道咋办了。
请问楼主你解决你的问题了吗?


没有解决呢
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
无聊人士 活跃值 2006-7-27 11:48
16
0
不错。真的很好,支持下啊。。。。
雪    币: 28
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
夺命黑裤衩 活跃值 5天前
17
0
找不到进程,我还怀疑是我从52下载的是假的,百度一查,很多人也都找不到进程。
感谢大佬,谢谢了!
游客
登录 | 注册 方可回帖
返回