某软件自校验解除
本帖最后由 wuxbeyond 于 2011-3-26 12:09 编辑【文章标题】:ASPack 2.12 -> Alexey Solodovnikov脱壳之后自校验解除【文章作者】: 八月未央(wuxbeyond)【作者邮箱】: 328274961@qq.com【作者主页】: 【作者QQ号】: 328274961【软件名称】: 内存优化专家 V7.2【下载地址】: http://duote.com/soft/6720.html【保护方式】: ASPack 2.12 -> Alexey Solodovnikov,自校验【编写语言】: VC【使用工具】: od+peid+loadpe+ir【操作平台】: Win Xp【作者声明】: 只是感兴趣,没有其他目的,只作为交流,感谢老师,感谢海阔天空以及各位前辈。解除自校验之后的文件
【详细过程】 第一次写破文,写的不好之处还请多多指教!~
1:还是按照基本步骤来,首先查壳,发现是ASPack 2.12 -> Alexey Solodovnikov
2:然后脱壳,可以手脱,也可以在论坛里下载脱壳机(这篇文章主要不是讲脱壳)...
3:脱壳之后运行脱壳后的程序提示"主程序被修改",程序当然就运行不起来了,很明显就是文件自校验了。那么我们开始解除
自校验。老方法,开两个OD,一个载入脱壳后的,一个载入原程序,然而,在试验的过程中,我发现在一台电脑上不能同时开
2个OD进行对比,情况是这样的,我用一个OD载入原程序之后 下断 bp CreateFileA ,f9之后断下来了,然后用另外一个od载入
加壳后的程序 下断 bp CreateFileA,然后f9 怎么就断不下来,OD还是出现载入时的界面。无赖之中,只有带着电脑回到公司
为什么在一台电脑上不能开两个?这个请各位大牛帮忙解释一下
然后我就开两台电脑,一台用OD载入原程序,然后自己的电脑用OD 载入脱壳后的程序进行对比跟踪。
最后发现很多跳转不对,这个自校验也太TM多了吧。以前开教程一般就才一处校验。。下面贴出之校验的地方
1000DC4F /76 78 jbe short krnln.1000DCC91000DD2F /75 1E jnz short krnln.1000DD4F004DD4B0 /75 05 jnz short Unpack_.004DD4B7004DD6C6 /7F 0E jg short Unpack_.004DD6D6004DDC49 /0F84 0A000000 je Unpack_.004DDC59以上的地址是正确的,跳转有的我是改了的,呵呵。这里说明一下,大家对比的时候耐心点,因为我开始找到3个自校验地方的时候就保存了,结果运行还是提示“主文件被修改”,所以大家耐心找完就OK 了。
修改完之后 保存为另外一个exe文件,OK ,可以运行了。文章我没写很详细,我也不想粘贴代码,关键的自校验地方已经找出来了。有兴趣的朋友可以下载来玩玩,软件是在多特
里面下载的接下来是要搞定这个VIP注册了。近请期待吧。我下次更新写好一点,第一次没精夜啊。呵呵。 感觉就像去找小J然后到了一半 小J 不做了呜 楼主你怎么可以这样 不错,你文章再写的详细点,把算法弄出来我把你1违规扣了,再给你一个精华。 哦。要的。谢谢啊。我会努力哈。 多些赐教,水平慢慢练。 4楼说的对哈。我试验过了,改一个跳转也可以。但是我第一次对比的时候是一个一个对比的,找出那么多不同的跳转,呵呵。 纯粹顶下! 892644330 发表于 2011-3-26 12:17 static/image/common/back.gif
楼主你这水平实在不敢恭维只需改
004DD8A9的je为jmp和004E180C的jle为jmp就够了哪来你那么多校验啊?你 ...
哈哈,我发现了,你和楼主有仇 好厉害~ 892644330 发表于 2011-3-26 12:17 static/image/common/back.gif
楼主你这水平实在不敢恭维只需改
004DD8A9的je为jmp和004E180C的jle为jmp就够了哪来你那么多校验啊?你 ...
嗯 也许你水平很高,但人家分享了,你呢!!!