手脱SoftSentry 2.11 - 2020 Software视频教程—by zgmap(菜鸟教程，高手飘过)

zgmap

无聊搞的，高手飘过，新手学习！

大家好，我是zgmap，闲暇无事给大家做个脱壳教程：
下面开始，本次的目标软件是
自动ASP文件生成器 1.3，程序在这里可以下载到：
http://www.newhua.com/soft/5888.htm

老规矩，PEID查壳：SoftSentry 2.11 -> 20/20 Software

呵呵，一个比较简单的加密壳，接下来脱掉它

OD载入程序，设置好异常选项，F8单步走

00459067 .E8 442C0000 CALL autoasp.0045BCB0

F8走到这个call以后程序就跑飞了，我们要在这个call的上面
来寻找关键点

很明显这两个地方不能跳：
0045901E . /0F85 2E000000 JNZ autoasp.00459052

0045902F . /0F84 1D000000 JE autoasp.00459052

从新载入程序，F8向下走，nop掉这两个

接着在这里ctrl+B，输入 FF D7 6A 00，点确定，来到这里
0045939B|.FFD7CALL EDI
0045939D|>6A 00 PUSH 0 ; /Style = MB_OK|MB_APPLMODAL
0045939F|.68 38E24500 PUSH autoasp.0045E238; |Title = "softSENTRY"
004593A4|.68 28E24500 PUSH autoasp.0045E228; |Text = "Failed to run!"
004593A9|.6A 00 PUSH 0 ; |hOwner = NULL
004593AB|.FF15 34244600 CALL DWORD PTR DS:[<&USER32.MessageBoxA>>; \MessageBoxA
004593B1|.5FPOP EDI
004593B2|.5EPOP ESI
004593B3\.C2 0400 RETN 4

..........详见录像


下载地址：http://www.zgmap.com/read.php?11

jesy

看看是什么壳没见过啊也来学习下啊

ximo

不错,学习了,谢谢分享

学习了楼主的脱法，觉得很不错，又学习了一招。
呵呵，自己也试炼了一下，觉得还有种更简单的方法，给大家分享一下吧：
在.code段，也就是00401000处F2下断，接着SHIFT+F9
此时，程序会出现一个要你注册的窗口，不用管，直接点试用
点试用后，程序就会中断下来了。
然后，在下面找call esi
找到后，此处F2下断，SHIFT+F9，取消断点，然后F7进去，就来到OEP了。哈~
总结了一下，写了个简单的脚本，供大家参考：

////////////////////////////////////////////////////////////
/// SoftSentry脱壳脚本
/// by 徐超(ximo) QQ:178911980
/// http://www.54soft.com.cn
///http://www.52pojie.net
///
/// 2008.7.27
////////////////////////////////////////////////////////////

var cbase
var csize

gmi eip,codebase
mov cbase,$RESULT
gmi eip,codesize
mov csize,$RESULT

bprm cbase,csize
esto
bpmc
findop eip,#FFD6#
bp $RESULT
esto
bc $RESULT
sti
cmt eip,"这里就是OEP！"
MSG "感谢使用此脚本，现在可以脱壳了"
ret

wiliiwin

看回复应该是个好教程 下下来吸收下新方法和思路

seasky8866

菜鸟来学习一下~~谢谢分享

qinhao

看看这个壳 学习高手的教程

傻人有傻福

回复学习一下 [s:39][s:39]

shaomifeng

好东西当然要学习一下

zx278212442

支持 学习！~
顶起啊！~
o(∩_∩)o...

liuxinsky

看楼主真厉害啊,想学习学习,有哪位大哥教教我啊