好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 qisisi 于 2010-12-27 17:34 编辑
【文章标题】: 带TMD壳简单暴破蓬莱小旋风
【文章作者】: qisisi
【作者邮箱】: 272740680@qq.com
【作者主页】: 无
【作者QQ号】: 272740680
【下载地址】: 自己搜索下载
【加壳方式】: ThemIDA 1.0.x.x - 1.8.x.x (no compression) -> Oreans Technologies
【使用工具】: OD
【作者声明】: 只是感兴趣,另外希望有大侠能加我QQ指导下。失误之处敬请诸位大侠赐教!
【详细过程】
查壳 Themida 1.0.x.x - 1.8.x.x (no compression) -> Oreans Technologies
TMD的壳,带壳破,直接无视 哈哈.
OD 载入 点否
运行起来 查看字符串
找到 通过验证.有效期至
往上找到开头 004028BC 55 push ebp
往下找跳转
00402903 /75 1F jnz short plxxf.00402924
这里有个跳转比较小.我们不管
0040291F /E9 F8060000 jmp plxxf.0040301C
这个跳转比较大,我们下断F2
0040299C ^\7C BB jl short plxxf.00402959
这是个向上的跳转 不用管
004029A5 /0F85 A9030000 jnz plxxf.00402D54
这个也按F2
004029D4 /74 13 je short plxxf.004029E9
这个比较小,不管
00402AA8 /0F85 79020000 jnz plxxf.00402D27
F2
00402ABD /0F84 5F010000 je plxxf.00402C22
F2
在往下回到00402B3F BA 6A164900 mov edx,plxxf.0049166A ; 通过验证.有效期至
我们随便输入几个数字,看看会断在哪.
断在00402AA8 /0F85 79020000 jnz plxxf.00402D27
F9运行起来.
00402ABD /0F84 5F010000 je plxxf.00402C22
也断下了。
继续F9
断在004029A5 /0F85 A9030000 jnz plxxf.00402D54
接下来大家知道了吧,
直接NOP掉做内存补丁,这里我就不详细说了..
录象下载
http://u.115.com/file/f050d1222#
带TMD壳简单暴破蓬莱小旋风.rar
【版权声明】: 本文原创于qisisi, 转载请注明作者并保持文章的完整, 谢谢!
2010年12月27日 17:20:32
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2010-12-27 17:23
