吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5731|回复: 7
收起左侧

[原创] Unpack TTProtect

[复制链接]
Liquor 发表于 2013-8-20 16:20
本帖最后由 Liquor 于 2013-8-20 16:22 编辑




我们可以直观的发现,先是自定位、之后是异或,紧跟着有一个call。

是利用0101301F处的CALL来调用一个SEH异常。
不过我们是脱壳,而不是分析壳,所以就不要纠结这些问题了。
程序F9运行,之后F12暂停,打开堆栈调用,来到最后一个


如果对Visual C++ 7.0的程序熟悉的话,就可以知道,这里是oep入口段的末尾
找一个vc7.0的对比下。

我们向上找,看下正常的vc7.0入口应该是什么样子的

那我们把加壳的程序同样向上找。

这里就是oep,那我们手工修复一下。把01用90(nop)填充。

既然oep已经找到,我们来修复iat指针。下VirtualProtect断点。
第一次


……
第六次

Alt+F9返回用户代码。

我们下一个写入断点,继续跟。

向上拉,寻找一下magic jmp。

此时我们来看一下iat

搜索特征码,“jmp eax”之后F7跟入,并还原oep。


之后copy该段代码,来到正确的oep处并覆盖。

开始dump,并使用ImportREC修复。


至此脱壳结束。
如有指教,请发送邮件到qs#ff0000.cc(#换@),谢谢。

免费评分

参与人数 3热心值 +3 收起 理由
Chief + 1 欢迎分析讨论交流[吾爱破解论坛]有你更精彩.
Peace + 1 我很赞同!
LShang + 1 欢迎分析讨论交流,[吾爱破解论坛]有你更精.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

逍遥枷锁 发表于 2013-8-20 16:28
给力,占沙发了,谢谢。
吾爱扣扣 发表于 2013-8-20 16:34
 楼主| Liquor 发表于 2013-8-20 16:45
吾爱扣扣 发表于 2013-8-20 16:34
这篇在逆缘看到过啊

报告扣扣老师 我就是qs
吾爱扣扣 发表于 2013-8-20 17:05

RE: Unpack TTProtect

Liquor 发表于 2013-8-20 16:45
报告扣扣老师 我就是qs

好吧。。。。。
小雨细无声 发表于 2013-8-20 17:38
感谢提供分享!
1354669803 发表于 2013-8-21 20:52
Qs师傅都可以逆天了
氵丶尛灬宝彡 发表于 2014-4-20 09:38
图挂了。。求更新
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-18 03:49

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表