好友
阅读权限10
听众
最后登录1970-1-1
|
诗意人生
发表于 2011-1-20 13:06
本帖最后由 诗意人生 于 2011-1-20 14:06 编辑
昨天玩了一天 也就迷茫了 总得干点什么
于是想起了向往已久的破解
我属于完全不懂的小白 莫见笑……
建议大家看个帖子 http://www.52pojie.cn/thread-23316-1-1.html
其实道理都是共同的 先熟悉下工具 起码要知道OD的那些插件的功能(最好在实践中记忆,两不误)
佛家有言 信 愿 行 我的信来自于论坛的N多大牛的破解 愿来自于不想无聊 行可以很好的促进或者抑制愿和信
废话不说啦 进正题
调试工具是PEID和OD
工具:小生我怕怕工具包http://www.52pojie.cn/thread-49253-1-1.html
USP教程下载http://www.rayfile.com/zh-cn/files/c485fdeb-320b-11de-a220-0019d11a795f/
思路
1 找到第一个POPAD 以及下面的大幅度跳转语句
2 找到后 进行脱壳
1 的方法有4种 单步跟踪 ESP定律法 2次内存镜像法 一步直达法
2 脱壳方法 OD插件方式一 OD插件方式二 LOADPE
下面关于1的笔记
单步跟踪 (阻止向上跳转,放过向下跳转)
Pushad 进寨 F4断点 F8单步 下过上断 其他不管 要是跳转 下一语断
POPAD 出寨 大跨度跳转 为真正的程序入口点
灰色的线为不成功的跳转 红色的线有上下之分 下的不断点 上的断点
ESP定律法 ESP寄存器
进入时看到PUSHAD F8下一语句 在寄存器窗口 找到ESP值0012FFA4 右击 在数据窗口跟随 左下角 右击第一个数据 断点 设置硬 件 访问断点 WORD/DWORD 运行 出现入口点 继续F8
2次内存镜像法 M .rsrc 说实话这里我有点不明白 为什么第二次断点要断在那里
一步直达法 绝大部分的Upx aspack壳 适用
右击 查找 命令 输入 POPAD 不点整个段块 回车 F2 运行 F2 F8
下面关于2脱壳的方法
OD插件方式一 OD插件方式二 这两个很简单不讲啦
LOADPE 修正镜像大小 完整转存 下面的工具 填入OEP 自动查找IAT 获取输入表 查看是否有效 修复转存文件
最好先把上面的视频教程下载下来 我这里的只是一个笔记总结 大家看完那个教程后就知道我上面的笔记不是废话
顺便给大家个试手软件
还是暗组扣来的= =#
直接给链接 你懂的。http://dl.dbank.com/c0ahbfezp0
脱壳后的大小为1.12Mb
权限= =#
还是不能上图。。。。
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
|
发表于 2011-1-20 14:20
