本帖最后由 余水 于 2014-6-20 17:22 编辑
脱某网络嗅探器zp壳+去广告笔记 软件:网络嗅探器5.5.0 工具:ExEinfo PE、OD、LordPE、ImpREC、ZPFixer、ZPDump、WSockExpert 声明:菜鸟笔记,纯属娱乐,虽说借鉴论坛众神教程尝到了点乐趣,但在此也就不一一感谢众大神辛苦的耕耘了,实在因为太多了。 过程: 1、pojie原因: 软件作用相信各位看官清楚,pojie原因如下: 打开之后,老是跳啊跳的,我等虽不是四有新青年,但这也太直接了吧,这种事该什么时候做,你比我清楚…… 2、查壳: 这个宝贝告诉我是zp 1.48,反正我是不懂。 抄家伙上神器---->载入OD; 停在006A3F03 处,f7一步,然后下ESP断点,f9运行; f9到005D1328——>从模块中删除分析,005D1328便是OEP; 在oep处下硬件写入断点; 4、处理模拟DLL 重载od(就是上面那两个基情四射的小黑三角点一下); 下CreaeFileA断点(判断有没有模拟DLL),看堆栈窗口发现还真有的…… 此时再下断 BP GetModuleHandleA,F9一次,Alt +F9 返回,然后向上翻动代码找到CMP---->下硬件执行断点; 00D53366 CMP处为比较要模拟的次数,下硬件执行断点,取消前面的两次API断点(不要删除任何硬件的),然后再次重新载入。 直接F9,运行到00D53366 CMP处,看下方寄存器修改为0. F9运行到达OEP,此时先用LoadPe dump一次,然后开始修复IAT。
5、修复IAT 运行 Importrec, OEP填 0001D1328 自动获取,此时全部无效。 修复IAT ZPfixer先来查找 IATStart 及 IATend 再来找 patchVA和zeroVA 返回OD ctrl+g输入006A20D4 在006A20D4下jmp enter跟随 跳到下一个jmp 继续enter跟随 记下retn地址:00D51D5D 这就是patch va,然后在上面的call enter跟随 记下00D5167B那里ds:[0xD55DCC]值也就是说00D55DCC就是ZERO VA 全部填入ZP Fixer,然后点start,记下E80000这个值。(注:每个机器Patch va和Zero va是不一样的,按照步骤找就OK了)。 OD 跟随00E0000地址,在此处新建EIP,末尾下断。 取消 之前的ESP硬件断点,F9运行,此时importrec 点获取输入,全部有效,然后转存刚才dump的,此时肯定不能运行,因为我们没有修复代码。 6、修复代码 OD重载程序,F8,下esp断点(因为刚才删了的),运行,来到处理dll的地方,刚修改值为0,运行 分别在段首段尾下断点,运行到retn记下EAX的值 记下来,取消断点,运行到OEP,alt + m查看内存镜像。
由00D40000开始,一直到00E7B000,这些地址全部记下来,保存在一个文本文档中。 打开Zpdump,开始补区段。ID自己填,填好后点load 选择刚才保存的文档,右边窗口出现数值,对他们点右键,GetVirtualSize,然后点 Analysis,最后start,完毕后点dump保存。
OD载入脱好后的文件,发现最后一段(ImportREC补得段)的起始地址为 00840000
计算器算一下,
00D40000 - 00840000 = 500000
将 dump过出错的文件载入 LoadPe PE编辑器。点区段,右键编辑最后一段,虚拟大小改为 500000 确定.
再右键点击最后一段,从磁盘载入区段,载入刚保存的.dmp段
提示成功,保存,确定,重建一下PE。 可以运行,所有按钮都无错。 脱壳成功。 7、去广告 先运行一下脱壳好的,发现弹出的窗口了,记下网址,(弹出的网页是http://f2.开头快速转向另一个网页)然后载入OD中文搜索 搜索ASCII,发现没有,那我们用WSockExpert监视一下这个程序,发现网址弹出网页来自:www.wlxtp.com 我们先搜索中文搜索搜索ASCII ——>www.wlxtp.com 相关的不少,把他们nop,retn,push的什么的保存试试看,然后运行 发现继续弹,这是为什么? bp ShellExecuteA也断不下来,肿么一回事啊?其实是我们找错地方了,不能搜索ASCII应该搜索UNICODE,一搜就发现如下: 跟随之后来到005C9B18 ko掉005C9B18的那个CALL,用最简单粗暴的方法nop。保存运行发现一切都清净了。 8.其实还可有装个B做个小文件补丁,看看,装的挺像的吧。
9.总结:在这里郑重的感谢Shark恒、2666fff,(前者是把我引上不归途的人,刚来论坛看了他教程之后,妞不泡了,游戏不玩了,现在是妹子恨,兄弟怨的;后者我是看了他视频和文字教程之后干掉了这个zp壳,也是第一次pojie软件哦),当然这里还要感谢许多软件的制作者和论坛管理人员等等,我只是一个天资愚钝的小菜鸟(其实是很愚钝的,花了一个星期才干掉),站在这些巨人前辈的肩膀上也能找点乐子。相信各位看官在这个地方也会找到很多乐子的!本文中错误之处,还请各位看官指点,不胜感激! 看人家贴网址,我也跟个风,把源程序和小补丁放上去,和我一样的小菜鸟可以玩玩。 链接刮刮乐: http://pan.baidu.com/s/1gd5S1W3 密码: e81q
| 
发表于 2014-6-20 17:22
|
发表于 2014-6-21 14:33
支持一下呀。希望以发多发发教程呀。哈哈。