新手手动脱tElock 0.92a -> tE!的壳
本帖最后由 boteli 于 2010-7-11 23:51 编辑大家好。我是新手。(第一次写教程,口才不好大家不要见怪啊~!)几天前。我要求别人帮我脱tElock 0.92a这个壳的时候被版主给扣分了。还扣了违规,经过几天的学习,实际。自己终于学会脱这个壳了。论坛上小鸡大哥已经放出来了(http://www.52pojie.cn/viewthread.php?tid=34210&highlight=tElock%2B0.92a%2B)。。但是他那个不适合新手。。现在我教大家一个比较简单的方法。。载入OD的入口,见图一
现在我们用最后一次异常法 OD去掉所有错误。。。就是调试选项里面除了忽略在KERNEL32中发生的内存访问异常钩不要去掉。。
下面都去掉。然后我们隐藏OD插件。。开始按shift+f9看看程序按几下才运行。记住一点就是如果你按N下就运行程序,那么你要按N-1次才行。
我按了16下就停在了这里。。见图
然后我们看下右下角注释里面有句 SE句柄 004E52D5就是这个 见图
看到这个。。然后我用快捷方式按CTRL+G 输入004E52D5 按回车
到了这里。。见图 (黄色的地方)
然后按下F2,再按下shift+F9 最后再按下F2 , 下面单步往下面走。按F8走,一直走。。走到这里有个往回跳的,这个时候我们在下面一句话里按下F4,见图
(黄色这里是代表往回跳,然后我们就在蓝色这里点下然后按下F4,再然后我们继续按F8往下走。)
一直按F8走到了这里。这里就是OEP的入口点。见图
然后我们按F8进去。然后脱壳。见图(PS:我是用LordPE脱壳的。脱壳之前先要在进程里面选择你正在脱壳的文件,然后在修正映像大小。。最后在完全脱壳)
现在我们运行脱壳的软件就出错误。。我们要修复软件。先关掉OD,接着打开没有脱壳的软件Hzbit.exe,然后打开Import Fix 1.6这个软件再然后我们打开Import Fix 1.6在进程里面选择我们已经打开的软件。找到后。我们在OEP里面填写 A301C(这时会有人问我A301C 是哪里来的~!这个我就不说了。。。如果这个都不懂。。那我无语了。。)然后点自动查找IAT。接着点下获取输入表,最后点下显示无效的。就出现了很多代码。。见图。。。
最后一步就是最关键的。。。如果我们直接右键然后在弹出菜单里选择跟踪3的话,那样会死程序的。。最好的方法就是一个个弄。。就是一个个右键选择跟踪3.
最后都修复好了后,你在点下显示无效。然后在变蓝色的代码这里右键。选择剪切指针。。最后点下修复转存文件,就是选择你脱壳后的软件。。最后退出。运行修复后的文件OK正常了。。。
(好了教程就写到这里了。。第一次写。大家多多原谅啊。。下面我拿这个软件给大家实验下。。这个软件就是论坛里有个叫小鸡拜拜的老大的)
PS:版主能不能把我违规给弄掉啊。。。谢谢了。。 沙发自己先坐。。哈哈。。 路过,看看~~~~~~~~~~~ 哇。自己脱。。。
甚是YY。。 回复 2# boteli
这种老壳,PEID自带的插件就能搞定了。 文字叙述很难明白的,建议你写个教程,通过之后我给你去违规 不是吧。。这个文字还说不清楚啊。。怎么操作写的很详细了。还带了图片了。。 谢谢你的分享
楼主继续加油~ 强烈要求写个教程 :victory:
图有时候看的不太明白 不错,前几天也遇到这么一个壳,老杯具了 CODE段下内存写入,运行
二进制查找61C6????????????74
004E4DE9 C685 5EAC4000 0>mov byte ptr ss:,0x0//F2下断
004E4DF0 74 07 je short Hzbit.004E4DF9 //改JMP
004E4DF2 808D 5EAC4000 0>or byte ptr ss:,0x1
在次在CODE段F2下断,运行即停在OEP
页:
[1]
2