[旧帖] [求助]請問各位高手怎麼幫幫忙!脫殼後出現Runtime Error R6002 Floating point not loaded 0.00元

adzqis 2009-2-13 19:13 14932
原始檔網址:
http://www.sinu.com.tw/Mogi.rar

脫殼後的網址
http://www.sinu.com.tw/dump.exe

PEiD檢測殼為PECompact 2.x -> Jeremy Collake

ESP定律脫殼後出現
Runtime Error R6002 Floating point not loaded

請問各位高手怎麼幫幫忙

快讯:[看雪招聘]十八年来,看雪平台输出了大量安全人才,影响三代安全人才!

最新回复 (11)
CCDebuger 2009-2-13 21:28
2
看出现的情况应该是VC8的程序吧?重建原始区段,把第二个段的特征值设为40000040。具体可以参考这个帖子:
http://bbs.pediy.com/showthread.php?t=58034
adzqis 2009-2-14 00:19
3
可以說詳細點嗎?

有看沒有懂

或是請問哪裡有腳本可以下載使用

感恩不盡
adzqis 2009-2-14 10:56
4
你好~我已經照您寫的重建原始区段,並把第二个段的特征值设为40000040
結果還是ㄧ樣~請問要怎麼用呢
icersg 2009-2-14 11:54
5
这个不就是腾迅活动的那个第三题么。具体解释看这里
http://bbs.pediy.com/forumdisplay.php?f=120&tcatid=111

不过用OD dump出来的直接就是2个section,一个是.text, 一个是.rsrc,如果用ImportREC修复有可能多一个section。程序才初始化的时候会检查RAV=00289240所在的section的属性是否为可写。如果可写,就跳过这一段的初始化,所以会出问题。而这个地方位于第一个节.text,如果改成不可写,程序可能连载入都不行。也许可以修改section header,把.text细分一下,多加一个.rdata并改一下属性,也许可以。但是我不太会,所以我直接改的程序流程,让他强行初始化。

打开程序以后,Ctrl+F查找push 00400000,用Ctrl+L查找下一个,一共有3个,最后一个是要改的地方,先下个断点,那里就是察看section是否可写的,等返回之后,把下面的je这句nop掉,就可以了。


005F1814 . 68 00004000 push 00400000 ; 搜索push 00400000,这里是第三个
005F1819 . E8 52FFFFFF call 005F1770
005F181E . 83C4 08 add esp, 8
005F1821 . 85C0 test eax, eax
005F1823 . 74 3B je short 005F1860
005F1825 . 8B40 24 mov eax, dword ptr [eax+24]
005F1828 . C1E8 1F shr eax, 1F ; 用这句来确认找到的push 00400000是否正确
005F182B . F7D0 not eax
005F182D . 83E0 01 and eax, 1
005F1830 . C745 FC FEFFF>mov dword ptr [ebp-4], -2
005F1837 . 8B4D F0 mov ecx, dword ptr [ebp-10]
005F183A . 64:890D 00000>mov dword ptr fs:[0], ecx
005F1841 . 59 pop ecx
005F1842 . 5F pop edi
005F1843 . 5E pop esi
005F1844 . 5B pop ebx
005F1845 . 8BE5 mov esp, ebp
005F1847 . 5D pop ebp
005F1848 . C3 retn ; 返回



005DE9FB /$ 833D 40926800>cmp dword ptr [689240], 0
005DEA02 |. 74 1A je short 005DEA1E
005DEA04 |. 68 40926800 push 00689240
005DEA09 |. E8 B22D0100 call 005F17C0
005DEA0E |. 85C0 test eax, eax ; 返回到这里
005DEA10 |. 59 pop ecx
005DEA11 |. 74 0B je short 005DEA1E ; nop掉这句就行啦
005DEA13 |. FF7424 04 push dword ptr [esp+4]
005DEA17 |. FF15 40926800 call dword ptr [689240] ; dump_.005E54EB
005DEA1D |. 59 pop ecx
005DEA1E |> E8 FD2C0100 call 005F1720
完美hacker 2009-2-14 21:16
6
重建原始区段
CCDebuger 2009-2-16 15:04
7
看这个帖子吧:
http://bbs.pediy.com/showthread.php?t=82168
用脚本跑一下,再自己修复相关内容。
adzqis 2009-2-16 21:45
8
將區段特徵値設為唯讀後~依舊還是出現Runtime Error R6002 Floating point not loaded
救命ㄚ
adzqis 2009-2-16 22:25
9
原始檔網址:
http://www.sinu.com.tw/Mogi.rar

脫殼後的網址
http://www.sinu.com.tw/dump.exe

PEiD檢測殼為PECompact 2.x -> Jeremy Collake

ESP定律脫殼後出現
Runtime Error R6002 Floating point not loaded

請問各位高手怎麼幫幫忙
CCDebuger 2009-2-16 22:56
10
不是已经让你看帖了吗?怎么还在脱壳区新开主题问这个问题?你分离一下区段,把起始 RVA 为  00281000 的那个段特征值设为 40000040 就行了。
adzqis 2009-2-16 23:46
11
該用哪套軟體用~且該怎麼用呢~有沒有教學頁面可以供參考呢
CCDebuger 2009-2-16 23:55
12
http://bbs.pediy.com/showthread.php?t=28402
返回