吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 20779|回复: 71
收起左侧

[分享] 手动速脱未知壳。。。

  [复制链接]
damgda 发表于 2010-8-7 14:02
本帖最后由 damgda 于 2010-8-16 22:38 编辑

今天逛游论坛看到有人发帖子求助脱壳,居然还是看雪的crackme。。。

不过文件名是unpackme。难道看雪出过脱壳的专题?有知情的朋友给个下载地址吧,我也好学习一下。

小弟不胜感激!


peid和die查壳均发现未知,区段竟然是个<。。。

1.jpg

2.jpg

OD载入,f9程序直接运行了,还好没有暗桩。。。

ctrl+f2重载程序,f8两步后esp变化,右击数据窗口跟随,下硬件读取断点-word

两次shift+f9后来到了一处可疑的oep。。。

004C71C1  - E9 3AEEFFFF     JMP UpackMe_.004C6000

可是跳过去发现程序还在不断的跳呀跳的。。。dump出来也不能运行⊙﹏⊙

没耐心,直接alt+m打开内存窗口,找到sfx


3.jpg

命令行下tc eip<00525000

shift+f92次,然后f8两次后到达oep
有朋友跟帖说模拟跟踪法没法到达oep。。。确实有的用不同的od可能会有这样的问题,大家这里第二步可以不用模拟跟踪,直接f8单步往下走,很快也可以到达oep的[s:38]

00485EC8    55              PUSH EBP------------------------real oep
00485EC9    8BEC            MOV EBP,ESP
00485ECB    83C4 F0         ADD ESP,-10
00485ECE    B8 505C4800     MOV EAX,UpackMe_.00485C50
00485ED3    E8 D402F8FF     CALL UpackMe_.004061AC
00485ED8    A1 0C744800     MOV EAX,DWORD PTR DS:[48740C]
00485EDD    8B00            MOV EAX,DWORD PTR DS:[EAX]
00485EDF    E8 DC2DFDFF     CALL UpackMe_.00458CC0
00485EE4    8B0D 30734800   MOV ECX,DWORD PTR DS:[487330]                       ; UpackMe_.00488D00
00485EEA    A1 0C744800     MOV EAX,DWORD PTR DS:[48740C]
00485EEF    8B00            MOV EAX,DWORD PTR DS:[EAX]
00485EF1    8B15 0C4D4800   MOV EDX,DWORD PTR DS:[484D0C]                       ; UpackMe_.00484D58
00485EF7    E8 DC2DFDFF     CALL UpackMe_.00458CD8

lordpe dump出来后直接重建输入表


4.jpg

很幸运,没有无效函数。。。修复一下转存。。。搞定

5.jpg

6.jpg

补充:
这个crackme带有防破解的校检。
00484AEC   /EB 2E           JMP SHORT dump.00484B1C
00484AEE   |8B03            MOV EAX,DWORD PTR DS:[EBX]
00484AF0   |E8 F7FEFFFF     CALL dump.004849EC
00484AF5   |85C0            TEST EAX,EAX
00484AF7   |74 20           JE SHORT dump.00484B19 -------------------------------检测
00484AF9   |8038 CC         CMP BYTE PTR DS:[EAX],0CC
00484AFC   |75 1B           JNZ SHORT dump.00484B19------------------------------检测
00484AFE   |55              PUSH EBP
00484AFF   |6A 0F           PUSH 0F
00484B01   |68 6C4A4800     PUSH dump.00484A6C
00484B06   |8B07            MOV EAX,DWORD PTR DS:[EDI]
00484B08   |E8 DFFEFFFF     CALL dump.004849EC
00484B0D   |50              PUSH EAX
00484B0E   |E8 2519F8FF     CALL <JMP.&kernel32.GetCurrentProcess>
00484B13   |50              PUSH EAX
00484B14   |E8 B71AF8FF     CALL <JMP.&kernel32.WriteProcessMemory>
00484B19   |83C3 04         ADD EBX,4
00484B1C   \85DB            TEST EBX,EBX


直接成jmp  SHORT dump.00484B19 即可搞定校检

剩下的破解就很简单啦

向该程序作者致敬,防破解很有意思[s:38]


1.JPG


UpackMe_007.rar (332.31 KB, 下载次数: 78)

dump.rar (659.13 KB, 下载次数: 38)

去除自校检.rar (658.24 KB, 下载次数: 16)

免费评分

参与人数 2热心值 +2 收起 理由
.oO + 1 高手~
davg + 1 支持!支持!!!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

wanynal 发表于 2010-8-7 14:06
学习学习 谢了先
q370399412 发表于 2010-8-7 14:07
 楼主| damgda 发表于 2010-8-7 14:23
回复 2# wanynal


回复 3# q370399412


客气客气,初学乍练。。。[s:38]
 楼主| damgda 发表于 2010-8-7 14:24
回复 4# a578454887


我从来不破解挂挂。。。那些一般都好变态的呢,不适合新手
头像被屏蔽
674428731 发表于 2010-8-7 14:40
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| damgda 发表于 2010-8-7 14:41
回复 7# 674428731


    呵呵,过奖啦,我也是新手哦[s:17]
davg 发表于 2010-8-7 22:11
顶呀!!!支持[s:53]
.oO 发表于 2010-8-7 22:14
来看看
A20972764 发表于 2010-8-8 11:38
支持LZ
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 05:55

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表