超簡單--試脫 TTProtect 1.06 Demo 記事本
感謝 Hmily 大哥一直以來對我的支持,底下把自己新手搞笑的脫殼方式, 貼出來和大家分享.
當時發表這篇帖子的時候, 其實我還不太會用 OD. 只是聽很多人說 TTProtect強, 於是下了一個 1.61 Demo 試了一下. 自己拿 Notepad.exe 加殼.試脫了一下, 還 OK.研究了一下, 有個小洞可以鑽.
只是示範這個小洞, 時間不夠, 所以脫殼後, 文件尚未減肥.
我把當時的步驟一步一步說明, 你們看完不要笑我的方法太菜哦!! 我真的是新手.
我那時候真的還不會用 OD去追蹤軟件.
首先用 OD 載入, 按 F9 運行. 就會得到這個可愛的 NAG .
這個時候, 點了[確定]之後, 就追不下去了. 還好, 我不會追.
所以我們不要按[確定]自殺, 先回到 OD 按這裡 執行到用戶代碼.
然後回去點那個會讓 OD 掛掉的 [確認]. 等暫停在 OD 之後按 查看內存, 找到這個區段. 你會發現這個時候,其實已經完成解碼了.
按 或按幾個 F8 回到記事本的領空.
在圖上我明明打的 [在這裡可以 Dump] 卻被吃字了.
有了 DUMP 之後還不能正常運行, 我們需要用到 ImportREC 來修復.
這裡我需要得到三個數值, OEP, IAT 的位置及大小.
OEP 的找法, 有人是用特征碼. 當時我沒那麼深的功力,所以直接拿 PEID 的插件來用.
現成的工具, 不用白不用, 何必跟自己的 過不去? (這圖是剛才重新抓的)
聽說手動修復IAT很難, 也很花時間. 我們新手最好先相信這些傳言. 看了他們的幾個方法, 哇!! 天書, 誰看得懂? 再說我的 OD 撐得住嗎? 算了, 找捷徑吧! 我們拿出不太有名, 但是確實很強大的 UIF來幫忙. 接下來的抓圖不太清楚, 我說明一下.
我那時還不會從 OD 裡看 PID, 所以就只好按出 工作管理員.(我真的是新手啊)
得到 PID, 拿到 UIF 裡填進去, 其它的不要填, 直接按 就會出來一堆處理的報告.
我們只需要記下 IAT RVA 及 IAT Size 的值, 以及前面得到的 OEP 給 ImportREC 用.
新版的畫面, 還真是不習慣.
後面兩張圖, 是我用 HIEW 來檢查 Import Table 完整性用的.
其實用 OD 也可以, 只是當時我真的不會.
寫完了, 當時很多人看不懂的圖片, 一一解說完畢.
那時候, 我新是新手, 用的方法也極簡單. 大家不要把它想得太複雜了.
看到沒, 我沒騙你們, 我真的真的不會用 OD.
我只是運氣比較好…啊! 不要丟雞蛋!
寫在最後:
這個方法, 只適用於 TTProtect 的 DEMO 版. 也就是有 NAG 會停下來給你 Dump 的.
正式版應該不適用.
為什麼說〔應該〕?
因為作者沒送我一份正式版.
哈, 下次見!
Zenix Yang 這個附件是沒水印的 PDF.
想收藏的朋友, 捐點 CB 給我吧!
算是對我的支持.
感謝大家. 感谢zenix兄分享经验~:) :victory:TTP的文章好少感谢分享 本帖最后由 zapline 于 2009-5-11 16:13 编辑
偶也 ,又学习到一个方法:victory:
送金钱卡感谢 这个壳我还真是第一次见~长见识了!谢谢 真不错啊。刚准备拿这个壳练手 很不错,学习。。。。。。。 目前还没看懂。。。。。
明天慢慢去研究。。 膜拜ZeNix:D