某群验证【脱壳+爆破】以及小白常见问题

罗萨

写给小白
常见问题：我这个软件到底有没有壳、到底是什么壳、这壳该怎么脱？
求你们了不要再用PEID，不要再用DIE等过时查壳工具了！！！！用下面这个！！！
关于有没有壳。https://www.52pojie.cn/thread-234739-1-1.html h大帖子已经写的很详细了。

我在说一下，，1这里，没壳的软件只会有四种提示，VC++、VB 5.0 6.0、Delphi、.Net。百分之九十九都是这四种情况，这种情况就是无壳，其他的都是有壳。2那里是包含了附加数据，需要在爱盘下载overlay最终版修补。
查壳软件最新版：https://ww.lanzouj.com/ic11u1a
脱壳方法百度及其多。如果遇到，VMP，TMD，SE，不要在问怎么脱壳了，老老实实打补丁。ESP定律能脱80%的壳，要多灵活运用！
前言
在求助区发现一位同学求助，https://www.52pojie.cn/thread-1167030-1-1.html，楼主的整体思路没问题，只是没找到关键点。下面带大家走一遍完整的步骤。
脱壳

查壳信息如上，直接esp定律

载入od，当寄存器窗口F8单步，只有当ESP以及EIP两个地址同时变红时数据窗口跟随到ESP

在数据窗口跟随来的地址上下硬件访问-字节断点（我这种数据窗口样式，右键--长形--ASCII数据，就可以设置成我这种样式的）
直接F9运行多次，直到

取消硬件断点，f8跟过去就到oep了。

修复iat
关于iat修复，教大家一个手动的方法，缺点是繁琐一点，这里我用的是x64dbg里自带的scylla插件（没找到独立版，不过无所谓Imprec一样的操作）

在有问题的api上直接双击，在dll目录里找到相关的dll，下面搜索函数名字，双击确定，重复若干次之后解决掉所有有问题的api

右下方三个按钮依次点击之后输入表就重建完成了。最后 用LodePE修复一下入口点。至此脱壳工作完成。
爆破


搜索字符串，在不是会员那里双击进入

经测试改这里的跳转程序会卡在加载信息上，说明这里不是关键。
我们在这里右键--转到--上个函数过程，看看那些地方调用了这个验证，来到段首直接下断运行

单步往下跟踪运行，最终发现

这里有一个比较并且还有一个来自跳转，先跟过去

可以看到这两个地方分别对指针内地址赋值1和-1，那么只要将
4025D7这里nop掉
4028E5这里改成cmp XXX，0x1
就可以了，保存

没问题

我有一朵花

学习了 如何手动修复                                                      

abb_boy

先收藏  五一放假 练练手 感谢大神的 分享  这么详细的解说  谢谢

Ftimes

学习了学习了

lplp01110

学习了，收藏一份，有时间测试一下，楼主还玩七日杀开服啊？

qwl789

学到了，七日杀好久的老游戏了。

天然呆自然二

学习了，感谢分享，已经收藏

zouhuangfa

学习了如何手动修复

jdkmeibu

学习了，很不错的修复，有空试试

kyzy0590

感觉智商不够用了 。。好晕

J12138

学习学习！