本帖最后由 小咪咪 于 2012-4-21 22:30 编辑
【文章标题】: EsProtect3.5加壳----脱壳,去自校验(小菜的第一篇破文) 【作者主页】: 凹凸曼 【作者QQ号】: 凹凸曼 【软件名称】: EsProtect3.5加壳 【下载地址】: 自己搜索下载【保护方式】: EsProtect3.5加壳 【使用工具】: OD 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!-------------------------------------------------------------------------------- 今天上论坛 无意间看到一个朋友新出的一款加壳软件
没想到小菜居然也能费尽大力搞掉···(虽然Shiny大是直接秒掉)
好了 闲话我也不多说了 第一次写破文 大家见谅···
先说下这款加壳软件吧 是UPX+花指令
这里小菜用的办法很愚昧 大家不要见笑···
最开始小菜用的方法比较傻逼啊·· 我这里不细说·· 也就是ESP各种运行
这里主要说S大给提供的方法
首先 下段 bp GetVersion
F9运行 段在这里
7C81127A > 64:A1 18000000 mov eax,dword ptr fs:[0x18]
7C811280 8B48 30 mov ecx,dword ptr ds:[eax+0x30]
7C811283 8B81 B0000000 mov eax,dword ptr ds:[ecx+0xB0]
7C811289 0FB791 AC000000 movzx edx,word ptr ds:[ecx+0xAC]
7C811290 83F0 FE xor eax,-0x2
7C811293 C1E0 0E shl eax,0xE
7C811296 0BC2 or eax,edx
7C811298 C1E0 08 shl eax,0x8
7C81129B 0B81 A8000000 or eax,dword ptr ds:[ecx+0xA8]
7C8112A1 C1E0 08 shl eax,0x8
7C8112A4 0B81 A4000000 or eax,dword ptr ds:[ecx+0xA4]
走一下 然后网上看 就可以看到OEP···
然后咱们运行试试 ·
果断的 无法运行 这个貌似就是传说中的自校验吧··
那么咱们再将托壳后的程序载入再看看吧··
其实这个去自校验超级简单 一个按钮事件就搞定
咱们下按钮事件断点 ff 55 fc 5f
断在这里
然后咱们F7 跟进去···
就会看到两个很可疑的CALL
咱们NOP掉
咱们再运行下看看?
OK 搞定了···
再次膜拜,感谢Shiny大 没有Shiny大 估计我就一只会找字符串的B 【经验总结】 ···没啥总结的 --------------------------------------------------------------------------------【版权声明】: 本文原创于小咪咪, 转载请注明作者并保持文章的完整, 谢谢!
2012年04月21日 22:17:12
| 
发表于 2012-4-21 22:24
|
发表于 2012-4-21 22:25
发表于 2012-4-21 22:29
bang姐 我表示无比鄙视你 小菜本来就一菜B 被你这么一说 信心都没了 求大大安慰{:1_931:}
