好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 kamenqi 于 2022-11-19 11:03 编辑
新手练习脱壳+去校验+爆破思路,不脱壳打补丁也可以,就是360会报毒!
这个软件脱壳后运行会生成一个批处理文件并把程序自我删除。
ASPack 2.12 -> Alexey Solodovnikov壳,比较好脱,就不多说了。
开始把软件载入od,进入oep
智能搜索文本字符串
5
搜索_deleteme.bat 这个就是调用的自我删除文件
6
找到_deleteme.bat ,右键转到cup窗口
7
8
00F5D268 |. 55 push ebp 这里右键查看调用树
00F5D269 |. 68 2DD4F500 push YCJXC.00F5D42D
00F5D26E |. 64:FF30 push dword ptr fs:[eax]
00F5D271 |. 64:8920 mov dword ptr fs:[eax],esp
00F5D274 |. 8D95 D4FDFFFF lea edx,[local.139]
00F5D27A |. 33C0 xor eax,eax
00F5D27C |. E8 B3594AFF call YCJXC.00402C34
00F5D281 |. 8B85 D4FDFFFF mov eax,[local.139]
00F5D287 |. 8D95 D8FDFFFF lea edx,[local.138]
00F5D28D |. E8 66DF4AFF call YCJXC.0040B1F8
00F5D292 |. 8B95 D8FDFFFF mov edx,[local.138]
00F5D298 |. 8D45 FC lea eax,[local.1]
00F5D29B |. B9 40D4F500 mov ecx,YCJXC.00F5D440 ; _deleteme.bat 转到这里
10
这里的地址先记下,脱壳后再改,因为脱壳后文本字符串会搜不到_deleteme.bat
00F17EF4 . 3BD8 cmp ebx,eax
00F17EF6 . 7E 4C jle short YCJXC.00F17F44 改成jmp 绕过自校验
00F17EF8 . E8 37530400 call YCJXC.00F5D234
00F17EFD . 8B45 FC mov eax,dword ptr ss:[ebp-0x4]
00F17F00 . E8 6BF659FF call YCJXC.004B7570
00F17F05 . EB 3D jmp short YCJXC.00F17F44
00F17F07 > FF05 34E1FD00 inc dword ptr ds:[0xFDE134]
11
接下来是就寻找爆破点了,下断点单步慢慢找
12
00F6DB7A > \803D 5DE5FD00>cmp byte ptr ds:[0xFDE55D],0x1
00F6DB81 . 75 0C jnz short YCJXC.00F6DB8F 脱壳后 nop掉 爆破完成。。
00F6DB83 . C605 80E5FD00>mov byte ptr ds:[0xFDE580],0x0
00F6DB8A . E9 6A0B0000 jmp YCJXC.00F6E6F9
00F6DB8F > 33C0 xor eax,eax
上面脱壳修改完这两处后,下面我们就修复一下,不修复win7就会报错,无法运行
13
到这里就算完成了,至于追注册码,写注册机,哈哈,本人菜鸟还不会。。。。
课件地址:链接:https://pan.baidu.com/s/1vOHr4zx7Gy9KGEj3_ylUFg?pwd=4wcy 提取码:4wcy
想学习破解的练练手吧 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2022-11-19 02:07
|
发表于 2022-11-26 17:58
