JDPack 1.01 简单No Nag
【文章标题】: JDPack 1.01 简单No Nag【文章作者】: wuhanqi
【作者邮箱】: wuhanqi@qq.com
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
闲来没事,玩个简单的壳,无聊写点文章~
1.主程序脱壳.懂啥叫ESP定律不?
2.脱好壳,用这个未注册版的软件随便压缩一个软件.
运行压缩后的文件提示:This file PACKED by Unregistered JDPack 1.01..........
我们先OD载入加壳后的文件看看哪里弹注册框.
F8结合F4可以很快速的来到:
0041B3D0 8385 FD314000 0>ADD DWORD PTR SS:,4
0041B3D7^ E9 3BFFFFFF JMP 0041B317
0041B3DC 83C6 14 ADD ESI,14
0041B3DF 8B95 65344000 MOV EDX,DWORD PTR SS:
0041B3E5^ E9 A8FEFFFF JMP 0041B292
0041B3EA 6A 30 PUSH 30
0041B3EC 8D9D 4D324000 LEA EBX,DWORD PTR SS:
0041B3F2 53 PUSH EBX
0041B3F3 8D9D 61324000 LEA EBX,DWORD PTR SS:
0041B3F9 53 PUSH EBX
0041B3FA 6A 00 PUSH 0
0041B3FC FF95 D5314000 CALL DWORD PTR SS: ; 这里就弹出了那该死的提示框
0041B402 8B95 65344000 MOV EDX,DWORD PTR SS:
0041B408 8B85 ED314000 MOV EAX,DWORD PTR SS:
0041B40E 03C2 ADD EAX,EDX
0041B410 894424 1C MOV DWORD PTR SS:,EAX
0041B414 61 POPAD
0041B415 50 PUSH EAX
0041B416 C3 RETN
0041B417 40 INC EAX
我们截取一段特征代码.
6A 30 8D 9D 4D 32 40 00 53 8D 9D 61 32 40 00 53 6A 00 FF 95 D5 31 40 00
好了,接下来用OD载入我们脱好壳的主程序.
F9跑程序.
Alt+M打开内存镜像.搜索我们这段特征代码.
应该能找到两处.一处在程序代码段,另一处应该在内存里.
我们Ctrl+G来到代码段的地址.
00402F9C|> \83C6 14 |ADD ESI,14
00402F9F|.8B95 65344000 |MOV EDX,DWORD PTR SS:
00402FA5|.^ E9 A8FEFFFF \JMP 00402E52
00402FAA 6A 30 PUSH 30
00402FAC|.8D9D 4D324000 LEA EBX,DWORD PTR SS:
00402FB2|.53 PUSH EBX
00402FB3|.8D9D 61324000 LEA EBX,DWORD PTR SS:
00402FB9|.53 PUSH EBX
00402FBA|.6A 00 PUSH 0
00402FBC|.FF95 D5314000 CALL DWORD PTR SS:
00402FC2|.8B95 65344000 MOV EDX,DWORD PTR SS:
00402FC8|.8B85 ED314000 MOV EAX,DWORD PTR SS:
00402FCE|.03C2 ADD EAX,EDX
00402FD0|.894424 1C MOV DWORD PTR SS:,EAX
00402FD4|.61 POPAD
修改00402FAA 6A 30 PUSH 30
为 00402FAA /EB 16 JMP SHORT 00402FC2
右键.保存一下程序.
接下来再用它压缩软件.
是不是没有提示框了?
3.欢迎大家加分回复共勉~
--------------------------------------------------------------------------------
【经验总结】
菜鸟,真总结不出来啥...
--------------------------------------------------------------------------------
【版权声明】: 菜鸟一个,没啥版权...
2009年08月02日 0:20:36 按照楼上的做法,的确可以去掉NAG.
就是不知道为什么这样做就可以去掉NAG ? ? 楼主能讲一下原理吗?
另外,楼主的修改方法是:使用JMP指令跳过这段指令,我是使用NOP替换这段指令,效果是一样的.呵呵~~~
页:
[1]