好友
阅读权限10
听众
最后登录1970-1-1
|
琅琊竹天
发表于 2010-7-30 23:46
【文章标题】: 手脱tElock 0.98b1 -> tE! 脱壳时的疑问
【文章作者】: 竹子
【软件名称】: SuperProxy代理服务器
【软件大小】: 309 K
【下载地址】: 自己搜索下载
【保护方式】: tElock 0.98b1
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: 2008版OD天草版,自己修改OD,看雪版OllyICE,ImportREC 1.6 汉化: cao_cong,ImportREC 小生怕怕汉化版
【操作平台】: windows XP3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!还有就是一些细节的问题。请各位大虾回答下!!不过没奖励~~!!!
【使用方法】:最后一次异常(我的疑问所在)
————————————————————————————————
OD载入~~
004C8BD0 FF6424 04 jmp dword ptr ss:[esp+4]
004C8BD4 0000 add byte ptr ds:[eax],al
004C8BD6 >^ E9 25E4FFFF jmp SuperPro.004C7000
三款OD入口相同
设置皆为全部异常,其他细节一致。
————————————————————————————————
shift+F9~!
看雪版的OLLYICE和天草版的OD都为21次,程序领空,程序跑起~!
自己修改的OD=23次,系统领空,程序跑起!
我的疑问之一
如果,那位朋友结果不一样可能机子的问题
可能是吾爱版的BUG吧@@希望有人给我个解释蛤!!我不太明白。
————————————————————————————————
自己的OD到位置~~!
7C801A28 > 8BFF mov edi,edi
7C801A2A 55 push ebp
7C801A2B 8BEC mov ebp,esp
7C801A2D FF75 08 push dword ptr ss:[ebp+0x8]
————————————————————————————————
然后~~!我放弃了纠结自己修改OD~!(*^__^*) 嘻嘻
使用看雪的,天草的 虽然,这两个不如吾爱破解版的强大。但是,胜在个人喜好!!!不论是哪个版本的OD只要自己用着顺手就好!!
找到OEP~~!
00455F19 55 push ebp
00455F1A 8BEC mov ebp,esp
00455F1C 6A FF push -1
00455F1E 68 68AE4800 push SuperPro.0048AE68
00455F23 68 485B4500 push SuperPro.00455B48
00455F28 64:A1 00000000 mov eax,dword ptr fs:[0]
————————————————————————————————
接下,来LORDPE脱壳,没有发现什么异常
单步跑起!!!
OEP···
————————————————————————————————
修复IAT,
ImportREC 1.6 汉化: cao_cong 跟踪等级3跟踪不到,显示
初始化故障
我以为是OD载入的问题··但是开原程序一样不行!!!
@@@@@@@@@@@@@@@@@@@@@@@@@
ImportREC 小生怕怕汉化版 跟踪到了 修复完毕!
要一点一点的跟踪 不这里就不演示了!!!
OD载入的时候修复会死掉!!!
要开原程序!!!
不能还原的指针直接剪切掉!!!
————————————————————————————————
以下为内存镜像二次断点法,我认为脱此壳的简单方法
OD设置,忽略所以异常
然后 Ctrl+M 内存查看 找到.rsrc段 F2下断点。shift+F9~!
到达
004C80A9 F3:A5 rep movs dword ptr es:[edi],dword >
004C80AB 8BCB mov ecx,ebx
004C80AD F3:A4 rep movs byte ptr es:[edi],byte pt>
004C80AF 8BF2 mov esi,edx
————————————————————————————————
然后,继续ctrl+M 找到 401000的CODE
下F2下断点,shift+f9运行
到达OEP
00455F19 55 push ebp
00455F1A 8BEC mov ebp,esp
00455F1C 6A FF push -1
00455F1E 68 68AE4800 push SuperPro.0048AE68
00455F23 68 485B4500 push SuperPro.00455B48
————————————————————————————————
望各位大虾解决一下我的疑问!!
第一次做破解教程大家见谅!!!
小菜一个请大家指教!!!!!
小生大大!!不要怪我偷你软件~~!!嘿嘿!!!
以下为动画演示!
| http://u.115.com/file/f6ed10cd59教程.rar |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|