吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5251|回复: 4
收起左侧

[分享] tElock快速脱壳

[复制链接]
iy0507 发表于 2009-3-6 22:44
PEiD查壳tElock 0.98b1 -> tE!
忽略所有异常(不忽略 同时忽略以下指定异常)
0040DBD6 >^\E9 25E4FFFF     jmp tElock.0040C000//壳入口呵呵 F9运行程序  程序错误调试 确认
0040DBDB    0000            add byte ptr ds:[eax],al
0040DBDD    0038            add byte ptr ds:[eax],bh
0040DBDF    A4              movs byte ptr es:[edi],byte ptr ds:[esi]
0040DBE0    54              push esp
0040DBE1    47              inc edi
0040DBE2    1E              push ds
从ctrl+g跟随 VirtualAlloc 断点

7C809A51 >  8BFF            mov edi,edi//跟随到这里
7C809A53    55              push ebp
7C809A54    8BEC            mov ebp,esp
7C809A56    FF75 14         push dword ptr ss:[ebp+14]
7C809A59    FF75 10         push dword ptr ss:[ebp+10]
7C809A5C    FF75 0C         push dword ptr ss:[ebp+C]
7C809A5F    FF75 08         push dword ptr ss:[ebp+8]
7C809A62    6A FF           push -1
7C809A64    E8 09000000     call kernel32.VirtualAllocEx
7C809A69    5D              pop ebp
7C809A6A    C2 1000         retn 10  //F2下断点 shift+f9运行
看堆帐
0012FF64   0040D08D  返回到 tElock.0040D08D
0012FF68   00000000
0012FF6C   00002410
0012FF70   00001000
0012FF74   00000004
0012FF78   0000095E
0012FF7C   00000003
0012FF80   0000095E
0012FF84   0012FF98
0012FF88   607C4CEF
0012FF8C   7C92EB94  ntdll.KiFastSystemCallRet


0012FF70   0040D41C  返回到 tElock.0040D41C//shift+f9运行3次后(经过一次解压就Ok了)
0012FF74   00000000
0012FF78   00000126
0012FF7C   00001000
0012FF80   00000004
0012FF84   004063F8  tElock.004063F8
0012FF88   00406000  tElock.00406000

看内存镜像
Memory map, 条目 20
地址=00401000
大小=00004000 (16384.)
属主=tElock   00400000
区段=   //在代码段下F2断点  F9运行后再返回内存镜像  shift+f9运行
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE


004010CC    55              push ebp//OEP
004010CD    8BEC            mov ebp,esp
004010CF    83EC 44         sub esp,44
004010D2    56              push esi
004010D3    FF15 E4634000   call dword ptr ds:[4063E4]
004010D9    8BF0            mov esi,eax
004010DB    8A00            mov al,byte ptr ds:[eax]
004010DD    3C 22           cmp al,22
004010DF    75 1B           jnz short tElock.004010FC
004010E1    56              push esi

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

老万 发表于 2009-3-7 09:32
学习了,谢谢楼主分享。
老海 发表于 2009-3-15 22:34
我记得手动脱这个壳后有131一个无效指针,需等级3来修复,修复后仍然有4个无效指针,此时剪切掉抓取一下脱壳程序就OK了。
mengboan 发表于 2009-3-19 11:05
asf123456789 发表于 2009-3-19 15:03
好东西,学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 01:26

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表