某群验证【脱壳+爆破】以及小白常见问题
本帖最后由 罗萨 于 2020-4-28 14:31 编辑写给小白
常见问题:我这个软件到底有没有壳、到底是什么壳、这壳该怎么脱?
求你们了不要再用PEID,不要再用DIE等过时查壳工具了!!!!用下面这个!!!
关于有没有壳。https://www.52pojie.cn/thread-234739-1-1.html h大帖子已经写的很详细了。
我在说一下,,1这里,没壳的软件只会有四种提示,VC++、VB 5.0 6.0、Delphi、.Net。百分之九十九都是这四种情况,这种情况就是无壳,其他的都是有壳。2那里是包含了附加数据,需要在爱盘下载overlay最终版修补。
查壳软件最新版:https://ww.lanzouj.com/ic11u1a
脱壳方法百度及其多。如果遇到,VMP,TMD,SE,不要在问怎么脱壳了,老老实实打补丁。ESP定律能脱80%的壳,要多灵活运用!
前言
在求助区发现一位同学求助,https://www.52pojie.cn/thread-1167030-1-1.html,楼主的整体思路没问题,只是没找到关键点。下面带大家走一遍完整的步骤。
脱壳
查壳信息如上,直接esp定律
载入od,当寄存器窗口F8单步,只有当ESP以及EIP两个地址同时变红时数据窗口跟随到ESP
在数据窗口跟随来的地址上下硬件访问-字节断点(我这种数据窗口样式,右键--长形--ASCII数据,就可以设置成我这种样式的)
直接F9运行多次,直到
取消硬件断点,f8跟过去就到oep了。
修复iat
关于iat修复,教大家一个手动的方法,缺点是繁琐一点,这里我用的是x64dbg里自带的scylla插件(没找到独立版,不过无所谓Imprec一样的操作)
在有问题的api上直接双击,在dll目录里找到相关的dll,下面搜索函数名字,双击确定,重复若干次之后解决掉所有有问题的api
右下方三个按钮依次点击之后输入表就重建完成了。最后 用LodePE修复一下入口点。至此脱壳工作完成。
爆破
搜索字符串,在不是会员那里双击进入
经测试改这里的跳转程序会卡在加载信息上,说明这里不是关键。
我们在这里右键--转到--上个函数过程,看看那些地方调用了这个验证,来到段首直接下断运行
单步往下跟踪运行,最终发现
这里有一个比较并且还有一个来自跳转,先跟过去
可以看到这两个地方分别对指针内地址赋值1和-1,那么只要将
4025D7这里nop掉
4028E5这里改成cmp XXX,0x1
就可以了,保存
没问题
学习了 如何手动修复 {:1_926:} 先收藏五一放假 练练手 感谢大神的 分享这么详细的解说谢谢 学习了学习了{:1_919:} {:301_997:}学习了,收藏一份,有时间测试一下,楼主还玩七日杀开服啊? 学到了,七日杀好久的老游戏了。 学习了,感谢分享,已经收藏 学习了如何手动修复 学习了,很不错的修复,有空试试 感觉智商不够用了 。。好晕 学习学习!