昨天上這裡看到了最新版的peSpin v0.3,今天上班時玩了一下,所以出來這麼個東東,不知道是這樣好還是寫脫文好(應該不要再交作業了吧).
宣告:由於近來已經有幾位朋友說我的指令碼沒有用,所以我在這裡申明,如果可以的話,最好看看你的指令碼外掛的版本(已經有幾位朋友由於是低版本的,所以當然出錯了),看看我的指令碼里寫的測試環境,如果還是出錯再和我聯絡OK??
我自己寫一個指令碼一般經過VC、VB、delphi三種語言的測試再發布,沒有透過的或專用的,我會在指令碼里說明的.至於有朋友說看不懂,說我能不能在指令碼的每一處寫上註釋,第一個我不想寫因為個人認為沒什麼必要,只要懂得用法的話你就知道看它比看一個程式是多麼的容易,如果用法都不知道的可以先去工具下載裡下我漢化的指令碼外掛和中文readme或直接去作者那裡下新版的E文說明.
第二沒必要,第三呢也是最主要的懶。歡迎大家和我交流!
/*
//////////////////////////////////////////////////
PESpin v0.3 Stolen Code Finder v0.1
( for 'Remove OEP' mode)
Author: loveboom
Email : bmd2chen@tom.com
OS : Win2kADV sp2,OllyDbg 1.1b,OllyScript v0.62
Date : 2004-3-28
Config: Ignore other exceptions except 'Invalid or privileged instruction'
Note : If you have one or more question, email me please,thank you!
//////////////////////////////////////////////////
*/
var bpaddr //Break point address
start: //script start
run
lbl1:
esto
esto
gpa "LoadLibraryA","kernel32.dll" //GetProcAddress
mov bpaddr,$RESULT
bp bpaddr
eob lbl2
esto
lbl2:
bc bpaddr
eob lbl3
rtu
lbl3:
mov bpaddr,esp
add bpaddr,4
bphws bpaddr,"r"
eob lbl4
run
lbl4:
bphwc bpaddr
end:
cmt eip,"Stolen Code found,here start Stolen program's OEP Code.please patch OEP code and then dumped it!"
msg "Script by loveboom[DFCG],Thank you for using my Script!"
ret