不是有效的win32应用程序(exe不是有效的win32应用程序)

xp不是有效的win32应用程序

穿山甲Amardillo保护分析本文是研究Chasgone英雄“犰狳中的几种代码拼接方法”的经验，不同之处在于我在这里“一鱼三吃”。当上述情况不利于穿山甲时，有必要拿出玄门的正宗功夫来对付武术，以便双杀可以锁定胜利。在此文档中，我要向像我这样的新手致敬，他们正在旅途中，向Chasgone致敬！ 开始以下操作：1。使用PEID以如下方式检查外壳：Armadillo3 。78-4 。xx-》 SiliconRealmsToolworks使用ExeinfoPE检查外壳，其显示为：Armadillo4 。4x〜4 。62。 。5。0〜7 。032位-www。siliconrealms。com（60 e8）2。试运行，以单个过程显示，并带有试行提示形式； 3，OD加载目标GameJack。exe，忽略所有异常，隐藏OD，下载HE kernel32。GetModuleHandleA硬件Breakpoint并使用Shift + F9运行。单击弹出窗口两次。破坏之后，查看堆栈：00 00916AFD / CALL到从00916AF7到GetModuleHandleA00BD6C pModule =“ kernel32。dll”00DDAC ASCII“ VirtualAlloc”继续到F9堆栈：00 00916B1A /从00916B14叫到GetModuleHandleA00BD6C pModule =“ kernel32。dll”00DDA0 ASCII“ VirtualFree”继续至F9以查看堆栈：00128FD4 00905A49 /从00905A43调用至GetModuleHandleA4。这时，当达到最佳返回时间时，删除断点alt + f9以返回并找到魔术跳转：。。。。。。00905A63 FF15 B被叫字ptr ds：【9262B8】; kernel32。LoadLibraryA。。。。 。。00905A7A 0F84 2F0 je 00905BAF;魔术跳转5，将魔术跳转更改为jmp：00905A7A / E9 jmp 00905BAF00905A7F | 90 nop按照jmp查找：00905BBE ^ 0F85 49FEFFFF jnz 00905A0D00905BC00 EB 03点00905BC4，F4行，然后返回以撤消魔术跳跃更改； 方法1：抢占----转移花木方法6，中断HE kernel32。VirtualAlloc和F9运行，在中断alt + f9返回之后，注意观察EAX如果为0，则继续F9并返回alt + f9。首次出现EAX = 0（非固定值）时，打开M图像并观察到没有0段，这意味着外壳程序将打开新的空间0，然后继续。 F9返回alt + f9。立即观察到M图像具有0段。双击它将显示全0，表示时间已到。此时，将EAX的值更改为。adata段的起始值并删除断点。 7，中断HE kernel32。SetProcessWorkingSetSize并运行F9，单击OK 4次，不取消断点，然后中断：HE kernel32。GetCurrentThreadId和F9运行，中断后返回alt + f9：00325E54 50push eax00325E55 FF75 FC Push dword ptrs s：【ebp-4】00325E58 E8 0call00325E62

exe不是win32应用程序

00325E5D 83C4 0C addesp，0C00325E61 C3 retn8。删除两个断点并执行F8直到返回：003402C1 6A 00 push 0查找：00B FFD1 callecx;段落末尾最近的CALL调用00D 8945FC mov dword ptrs s：【ebp-4】，eax003403A0 8B45 FC mov eax，dword ptrs s：【ebp-4】003403A3 5F popedi003403A4 5E popesi003403A5 C9离开003403A6 C3 retn9，F00，然后F7，然后按F7输入OEP = 0046F114，然后使用LordPE（更正大小）转储到dumped。exe，填写OEP：6F114，ImportREC自动获取API，剪切多余的项目，并转储到dumped_。exe； 10，运行dumped_ 。exe提示符不是有效的WIN32程序。使用LordPE进行重建和验证。 方法二：发布后控制----女娲补天法6，中断HE kernel32。SetProcessWorkingSetSize并运行F9，单击弹出窗口4次，不要取消断点，然后再断点：HE kernel32。GetCurrentThreadId以F9运行，并在中断后返回alt + f9：00325E54 50push eax00325E55 FF75 FC push dword ptrs s：【ebp-4】

xp怎么改win32

00325E58 E8 0call00325E6200325E5D 83C4 0C addesp，0CC00325离开00325 7。删除两个断点并执行步骤F8，直到返回：003402C1 6A 00 push 0向下查找：00D 8945FC mov word ptrs s：【ebp-4】，eax003403A0 8B45 FC mov eax，dword ptrs s：【ebp-4】003403A3 5F popedi003403A4 5E popesi003403A5 C9离开003403A6 C3 ret ，然后按F7并达到OEP = 0046F114。现在处理代码拼接：找到GameJack。exe的进程是1C38，并打开M映像。 一种。找到GameJack。text部分：内存映射，项目25地址= 00大小= 000（。）主机= GameJack 00

xp提示exe不是有效的32

部分= 。text类型=图片0访问权限= R初始访问权限= RWEb 。查找代码拼接段：（点类型排序，第一种类型是priv access = RWE项目）：内存映射，项目30地址= 02C大小= 000（。）主机= 02C（自己）节=类型= Priv 000访问= RE初始访问= RWE打开ArmInline并填写相应的值（软件可以自动填充它，但需要手动更正），单击“删除拼接”，修复成功。 9，这时，使用LordPE（正确大小）以dumped。exe的形式进行转储，填写OEP：6F114，ImportREC自动获取API，削减多余的项目，并转储到dumped_。exe； 10，运行dumped_。exe提示这不是有效的WIN32程序。只需使用LordPE进行重建和验证即可。 方法三：腹部黑色疗法----宗吾补锅法重新启动OD一直运行，然后转到方法2之8（注：9个修复输入表和10个重建PE的顺序可以互换。）8，点00B F4，使用LordPE（更正后的大小）为dumped。exe转储；

exe不是有效的win32应用程序

找到GameJack。exe进程是1E24（重新启动OD进程已更改），打开M映像以找到代码拼接段：（点类型排序，第一个类型是priv Access = RWE的项）内存映射，项30地址= 022EF0000（重新启动OD地址已更改）大小= 000（。）主机= 02EF0000（自身）部分=类型=私有000访问= RE初始访问= RWE解开代码拼接部分（大小= 000）在LordPE区域中作为Region02EF0000-02F。dmp，然后使用PE编辑器（包含在LordPE中）打开dumped。exe，选择该部分，然后右键单击以加载Region02EF0000 -02F。dmp添加了新的区域Region02。右键单击此细分以编辑该细分。虚拟地址更改为02EF0000-00 = 2AF0000。确保退出并记得保存。 9，填写OEP：6F114，ImportREC自动获取API，削减多余的项目，并将其作为dumped_。exe转储； 10。运行dumped_。exe会提示它不是有效的WIN32程序。使用LordPE进行重建和验证。好。 -结束-Kanxue ID：ejamsehttps://bbs。pediy。com/user-。htm本文由Kanxue论坛ejamse原创负责编辑：