TMD 2.X未知版本万能找OEP法
话说,我也是因为无聊,之前做游戏服务端模拟开发,刚要与客户端同步,就更新了,每次我要脱壳,游戏又更新了.越来越烦,逼得自己一直在学逆向工程昨天晚上刚做完调试,游戏又更新了,我崩溃了,对针的版本我百分百肯定是TMD壳,但是不知道是什么壳,程序应该带签名,还有Debugport检测重启,于是在没有人发布过脱壳相关资源的情况下,我又来暴力破解了
脱壳帮助工具:Auto Debug ProfessionV5.7
好了,话不多上开始操刀上手,由于本人是菜菜菜鸟级别,高手别喷,只是给那些脱强壳的朋友们个快速办法
第一步,打开Auto Debug,调试你要的程序,然后对你熟悉的API或者可能要运行的API,截获下来,然后运行,不管报不错不用理,接下来就可以看截获下来的堆栈包信息,看return 地址
于是跟着一步一步往上走,OEP离你不远
但是我跑到了OEP入口点,与原来的入口点做了对比,好像是被偷了字节,还有IAT要修复,这个我就去翻各位大牛的教程了
0083FD83 6A 58 push 0x58 //应该是被偷了吧,程序是VC6的
0083FD85 68 D8809300 push Audition.009380D8
0083FD8A E8 C9770000 call Audition.00847558
0083FD8F 33F6 xor esi,esi
0083FD91 8975 FC mov dword ptr ss:,esi
0083FD94 8D45 98 lea eax,dword ptr ss:
0083FD97 50 push eax
0083FD98 E8 D112FC02 call 0380106E
0083FD9D 90 nop
0083FD9E 6A FE push -0x2
0083FDA0 5F pop edi
0083FDA1 897D FC mov dword ptr ss:,edi
0083FDA4 B8 4D5A0000 mov eax,0x5A4D
0083FDA9 66:3905 0000400>cmp word ptr ds:,ax
0083FDB0 75 38 jnz XAudition.0083FDEA
0083FDB2 A1 3C004000 mov eax,dword ptr ds:
0083FDB7 81B8 00004000 5>cmp dword ptr ds:,0x4550
0083FDC1 75 27 jnz XAudition.0083FDEA
0083FDC3 B9 0B010000 mov ecx,0x10B
0083FDC8 66:3988 1800400>cmp word ptr ds:,cx
0083FDCF 75 19 jnz XAudition.0083FDEA
迷糊中.希望各位勇敢的发言....新手发贴多多支持{:1_937:}
我看不懂 发帖分享经验,赞一个。。。 有脚本跑TMD的壳
N牛的很不错 本帖最后由 qzy0549 于 2011-10-29 19:40 编辑
看这楼主的一大堆我头衔 我表示我汗颜 无敌自容啊 呵呵 虽然他是假的 楼主头像犀利! 那还不如跑脚本~ 学习了。不错的东西 为啥不留个样本给我们练手 很难懂,而且软件不能调试TDM
页:
[1]
2