网站 › 『脱壳破解区』 › EsProtect3.5加壳----脱壳，去自校验（小菜的第一篇破文）

小咪咪 发表于 2012-4-21 22:24

EsProtect3.5加壳----脱壳，去自校验（小菜的第一篇破文）

本帖最后由 小咪咪 于 2012-4-21 22:30 编辑


【文章标题】: EsProtect3.5加壳----脱壳，去自校验（小菜的第一篇破文）【文章作者】: 小咪咪【作者邮箱】: 849893248@qq.com【作者主页】: 凹凸曼【作者QQ号】: 凹凸曼【软件名称】: EsProtect3.5加壳【下载地址】: 自己搜索下载【保护方式】: EsProtect3.5加壳【使用工具】: OD【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!--------------------------------------------------------------------------------今天上论坛 无意间看到一个朋友新出的一款加壳软件


叫EsProtect3.5   小菜也是闲的蛋疼 所以尝试了去破解玩玩······


没想到小菜居然也能费尽大力搞掉···（虽然Shiny大是直接秒掉）


好了 闲话我也不多说了 第一次写破文 大家见谅···


先说下这款加壳软件吧是UPX+花指令


这里小菜用的办法很愚昧 大家不要见笑···


最开始小菜用的方法比较傻逼啊··我这里不细说··也就是ESP各种运行


这里主要说S大给提供的方法


首先 下段 bp GetVersion


F9运行 段在这里


7C81127A >64:A1 18000000mov eax,dword ptr fs:
7C811280    8B48 30         mov ecx,dword ptr ds:
7C811283    8B81 B0000000   mov eax,dword ptr ds:
7C811289    0FB791 AC000000 movzx edx,word ptr ds:
7C811290    83F0 FE         xor eax,-0x2
7C811293    C1E0 0E         shl eax,0xE
7C811296    0BC2            or eax,edx
7C811298    C1E0 08         shl eax,0x8
7C81129B    0B81 A8000000   or eax,dword ptr ds:
7C8112A1    C1E0 08         shl eax,0x8
7C8112A4    0B81 A4000000   or eax,dword ptr ds:
然后返回



走一下 然后网上看 就可以看到OEP···

然后咱们运行试试 ·


果断的无法运行 这个貌似就是传说中的自校验吧··


那么咱们再将托壳后的程序载入再看看吧··


其实这个去自校验超级简单 一个按钮事件就搞定


咱们下按钮事件断点 ff 55 fc 5f


断在这里

然后咱们F7 跟进去···


就会看到两个很可疑的CALL


咱们NOP掉



咱们再运行下看看？

OK搞定了···

再次膜拜，感谢Shiny大没有Shiny大 估计我就一只会找字符串的B 【经验总结】···没啥总结的--------------------------------------------------------------------------------【版权声明】: 本文原创于小咪咪, 转载请注明作者并保持文章的完整, 谢谢!
                                                       2012年04月21日 22:17:12

小咪咪 发表于 2012-4-21 22:25

第一次写破文   有什么不足之处请见谅 小菜就这水准···

shi6718298 发表于 2012-4-21 22:29

修改一下！不要留QQ，留Q违规！

Rookietp 发表于 2012-4-21 22:29

膜拜咪咪大大，神速，作者估计又要出3.6了

shi6718298 发表于 2012-4-21 22:30

这样多好！攻防才能进步啊！

小咪咪 发表于 2012-4-21 22:31

xiaobang 发表于 2012-4-21 22:29 static/image/common/back.gif
膜拜咪咪大大，神速，作者估计又要出3.6了

{:1_932:}bang姐我表示无比鄙视你小菜本来就一菜B 被你这么一说 信心都没了 求大大安慰{:1_931:}
{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}{:1_923:}

Zzh 发表于 2012-4-21 22:36

膜拜米大大,ESP作者会恨死你了,估计又要出新版了,不过有米大在,ESP脱壳百分百{:1_918:}

小咪咪 发表于 2012-4-21 22:40

Zzh 发表于 2012-4-21 22:36 static/image/common/back.gif
膜拜米大大,ESP作者会恨死你了,估计又要出新版了,不过有米大在,ESP脱壳百分百

:'(weeqw
:'(weeqw
Zzh大    您也来损小菜

求大大安慰

小咪咪 发表于 2012-4-21 22:41

xiaobang 发表于 2012-4-21 22:29 static/image/common/back.gif
膜拜咪咪大大，神速，作者估计又要出3.6了

bang姐头像怎么变了

353086969 发表于 2012-4-21 22:45

原来和我的定义完全不一样。唉
原本认为验证需要一个一个nop掉。缘来搞2个call也可以

查看完整版本: EsProtect3.5加壳----脱壳，去自校验（小菜的第一篇破文）