脱某网络嗅探器zp壳+去广告笔记
本帖最后由 余水 于 2014-6-20 17:22 编辑脱某网络嗅探器zp壳+去广告笔记软件:网络嗅探器5.5.0工具:ExEinfo PE、OD、LordPE、ImpREC、ZPFixer、ZPDump、WSockExpert声明:菜鸟笔记,纯属娱乐,虽说借鉴论坛众神教程尝到了点乐趣,但在此也就不一一感谢众大神辛苦的耕耘了,实在因为太多了。过程:1、pojie原因:软件作用相信各位看官清楚,pojie原因如下:打开之后,老是跳啊跳的,我等虽不是四有新青年,但这也太直接了吧,这种事该什么时候做,你比我清楚……2、查壳:这个宝贝告诉我是zp 1.48,反正我是不懂。3、脱壳抄家伙上神器---->载入OD;停在006A3F03 处,f7一步,然后下ESP断点,f9运行;f9到005D1328——>从模块中删除分析,005D1328便是OEP;在oep处下硬件写入断点;4、处理模拟DLL重载od(就是上面那两个基情四射的小黑三角点一下);下CreaeFileA断点(判断有没有模拟DLL),看堆栈窗口发现还真有的……此时再下断 BP GetModuleHandleA,F9一次,Alt +F9 返回,然后向上翻动代码找到CMP---->下硬件执行断点;00D53366 CMP处为比较要模拟的次数,下硬件执行断点,取消前面的两次API断点(不要删除任何硬件的),然后再次重新载入。直接F9,运行到00D53366CMP处,看下方寄存器修改为0. F9运行到达OEP,此时先用LoadPe dump一次,然后开始修复IAT。
5、修复IAT运行 Importrec, OEP填 0001D1328 自动获取,此时全部无效。修复IAT ZPfixer先来查找 IATStart 及 IATend再来找 patchVA和zeroVA返回ODctrl+g输入006A20D4在006A20D4下jmpenter跟随跳到下一个jmp 继续enter跟随 记下retn地址:00D51D5D 这就是patch va,然后在上面的call enter跟随记下00D5167B那里ds:值也就是说00D55DCC就是ZERO VA全部填入ZP Fixer,然后点start,记下E80000这个值。(注:每个机器Patch va和Zero va是不一样的,按照步骤找就OK了)。OD 跟随00E0000地址,在此处新建EIP,末尾下断。取消 之前的ESP硬件断点,F9运行,此时importrec 点获取输入,全部有效,然后转存刚才dump的,此时肯定不能运行,因为我们没有修复代码。6、修复代码OD重载程序,F8,下esp断点(因为刚才删了的),运行,来到处理dll的地方,刚修改值为0,运行分别在段首段尾下断点,运行到retn记下EAX的值记下来,取消断点,运行到OEP,alt + m查看内存镜像。
由00D40000开始,一直到00E7B000,这些地址全部记下来,保存在一个文本文档中。打开Zpdump,开始补区段。ID自己填,填好后点load 选择刚才保存的文档,右边窗口出现数值,对他们点右键,GetVirtualSize,然后点 Analysis,最后start,完毕后点dump保存。
OD载入脱好后的文件,发现最后一段(ImportREC补得段)的起始地址为 00840000
计算器算一下,
00D40000 - 00840000 = 500000
将 dump过出错的文件载入 LoadPe PE编辑器。点区段,右键编辑最后一段,虚拟大小改为 500000 确定.
再右键点击最后一段,从磁盘载入区段,载入刚保存的.dmp段
提示成功,保存,确定,重建一下PE。可以运行,所有按钮都无错。脱壳成功。7、去广告先运行一下脱壳好的,发现弹出的窗口了,记下网址,(弹出的网页是http://f2.开头快速转向另一个网页)然后载入OD中文搜索 搜索ASCII,发现没有,那我们用WSockExpert监视一下这个程序,发现网址弹出网页来自:www.wlxtp.com我们先搜索中文搜索搜索ASCII ——>www.wlxtp.com相关的不少,把他们nop,retn,push的什么的保存试试看,然后运行发现继续弹,这是为什么?bp ShellExecuteA也断不下来,肿么一回事啊?其实是我们找错地方了,不能搜索ASCII应该搜索UNICODE,一搜就发现如下:跟随之后来到005C9B18ko掉005C9B18的那个CALL,用最简单粗暴的方法nop。保存运行发现一切都清净了。8.其实还可有装个B做个小文件补丁,看看,装的挺像的吧。 9.总结:在这里郑重的感谢Shark恒、2666fff,(前者是把我引上不归途的人,刚来论坛看了他教程之后,妞不泡了,游戏不玩了,现在是妹子恨,兄弟怨的;后者我是看了他视频和文字教程之后干掉了这个zp壳,也是第一次pojie软件哦),当然这里还要感谢许多软件的制作者和论坛管理人员等等,我只是一个天资愚钝的小菜鸟(其实是很愚钝的,花了一个星期才干掉),站在这些巨人前辈的肩膀上也能找点乐子。相信各位看官在这个地方也会找到很多乐子的!本文中错误之处,还请各位看官指点,不胜感激! 看人家贴网址,我也跟个风,把源程序和小补丁放上去,和我一样的小菜鸟可以玩玩。链接刮刮乐: http://pan.baidu.com/s/1gd5S1W3 密码: e81q
winluo 发表于 2014-6-21 09:33
很好,很强大,我会脱壳1.49的,不会修补,教我一下,谢谢
我是新手,你说的是什么地方修复?是401000,IAT,还是代码的修复?看看我可会。 这个应该是免费版 这么大篇幅, 赞起来!!~ 混小子 发表于 2014-6-20 17:28
这个应该是免费版
是的,vip的说是没有广告。 heimu360 发表于 2014-6-20 17:35
这么大篇幅, 赞起来!!~
感谢,感谢.为了小小纪念一哈子,零突破。 本帖最后由 winluo 于 2014-6-21 09:34 编辑
很好,很强大,我会脱壳1.49的,不会修补,教我一下,谢谢 认真回复了 {:301_978:}支持一下呀。希望以发多发发教程呀。哈哈。 楼主 链接地址失效 求更新
页:
[1]
2