琅琊竹天 发表于 2010-7-30 23:46

手脱tElock 0.98b1 -> tE! 脱壳时的疑问



【文章标题】: 手脱tElock 0.98b1 -> tE! 脱壳时的疑问
【文章作者】: 竹子
【软件名称】: SuperProxy代理服务器
【软件大小】: 309 K
【下载地址】: 自己搜索下载
【保护方式】: tElock 0.98b1
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: 2008版OD天草版,自己修改OD,看雪版OllyICE,ImportREC 1.6 汉化: cao_cong,ImportREC 小生怕怕汉化版
【操作平台】: windows XP3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!还有就是一些细节的问题。请各位大虾回答下!!不过没奖励~~!!!
【使用方法】:最后一次异常(我的疑问所在)
————————————————————————————————
OD载入~~
004C8BD0    FF6424 04         jmp dword ptr ss:
004C8BD4    0000            add byte ptr ds:,al
004C8BD6 >^ E9 25E4FFFF       jmp SuperPro.004C7000
三款OD入口相同
设置皆为全部异常,其他细节一致。
————————————————————————————————
shift+F9~!
看雪版的OLLYICE和天草版的OD都为21次,程序领空,程序跑起~!
自己修改的OD=23次,系统领空,程序跑起!
我的疑问之一
如果,那位朋友结果不一样可能机子的问题
可能是吾爱版的BUG吧@@希望有人给我个解释蛤!!我不太明白。
————————————————————————————————
自己的OD到位置~~!
7C801A28 >8BFF            mov edi,edi
7C801A2A    55            push ebp
7C801A2B    8BEC            mov ebp,esp
7C801A2D    FF75 08         push dword ptr ss:
————————————————————————————————
然后~~!我放弃了纠结自己修改OD~!(*^__^*) 嘻嘻
使用看雪的,天草的 虽然,这两个不如吾爱破解版的强大。但是,胜在个人喜好!!!不论是哪个版本的OD只要自己用着顺手就好!!
找到OEP~~!
00455F19    55                push ebp
00455F1A    8BEC            mov ebp,esp
00455F1C    6A FF             push -1
00455F1E    68 68AE4800       push SuperPro.0048AE68
00455F23    68 485B4500       push SuperPro.00455B48
00455F28    64:A1 00000000    mov eax,dword ptr fs:
————————————————————————————————
接下,来LORDPE脱壳,没有发现什么异常
单步跑起!!!
OEP···
————————————————————————————————
修复IAT,
ImportREC 1.6 汉化: cao_cong 跟踪等级3跟踪不到,显示
初始化故障
我以为是OD载入的问题··但是开原程序一样不行!!!
@@@@@@@@@@@@@@@@@@@@@@@@@
ImportREC 小生怕怕汉化版 跟踪到了 修复完毕!
要一点一点的跟踪 不这里就不演示了!!!
OD载入的时候修复会死掉!!!
要开原程序!!!
不能还原的指针直接剪切掉!!!
————————————————————————————————
以下为内存镜像二次断点法,我认为脱此壳的简单方法
OD设置,忽略所以异常
然后 Ctrl+M 内存查看 找到.rsrc段 F2下断点。shift+F9~!
到达
004C80A9    F3:A5             rep movs dword ptr es:,dword >
004C80AB    8BCB            mov ecx,ebx
004C80AD    F3:A4             rep movs byte ptr es:,byte pt>
004C80AF    8BF2            mov esi,edx
————————————————————————————————
然后,继续ctrl+M 找到 401000的CODE
下F2下断点,shift+f9运行
到达OEP
00455F19    55                push ebp
00455F1A    8BEC            mov ebp,esp
00455F1C    6A FF             push -1
00455F1E    68 68AE4800       push SuperPro.0048AE68
00455F23    68 485B4500       push SuperPro.00455B48
————————————————————————————————
望各位大虾解决一下我的疑问!!
第一次做破解教程大家见谅!!!
小菜一个请大家指教!!!!!
小生大大!!不要怪我偷你软件~~!!嘿嘿!!!:victory:


                                                   以下为动画演示!

http://u.115.com/file/f6ed10cd59教程.rar

mischief1 发表于 2010-7-30 23:59

不错!我迟早也能成功!!!!

小Z 发表于 2010-7-31 00:10

不难..

hixiaosheng 发表于 2010-7-31 00:49

很可能跟你开安全软件也有关系

qq1124586843 发表于 2010-7-31 02:50

嗯关闭安全卫士看看

晴天 发表于 2010-7-31 06:38

我试了一下,成功了
页: [1]
查看完整版本: 手脱tElock 0.98b1 -> tE! 脱壳时的疑问