本帖最后由 wuxbeyond 于 2011-3-26 12:09 编辑
【文章标题】 :ASPack 2.12 -> Alexey Solodovnikov脱壳之后自校验解除【文章作者】: 八月未央(wuxbeyond) 【作者主页】: 【作者QQ号】: 328274961 【软件名称】: 内存优化专家 V7.2 【下载地址】: http://duote.com/soft/6720.html 【保护方式】: ASPack 2.12 -> Alexey Solodovnikov,自校验 【编写语言】: VC 【使用工具】: od+peid+loadpe+ir 【操作平台】: Win Xp 【作者声明】: 只是感兴趣,没有其他目的,只作为交流,感谢老师,感谢海阔天空以及各位前辈。 解除自校验之后的文件
Unpack_2.rar
(164.71 KB, 下载次数: 24)
【详细过程】 第一次写破文,写的不好之处还请多多指教!~
1:还是按照基本步骤来,首先查壳,发现是ASPack 2.12 -> Alexey Solodovnikov
2:然后脱壳,可以手脱,也可以在论坛里下载脱壳机(这篇文章主要不是讲脱壳)...
3:脱壳之后运行脱壳后的程序提示"主程序被修改",程序当然就运行不起来了,很明显就是文件自校验了。那么我们开始解除
自校验。老方法,开两个OD,一个载入脱壳后的,一个载入原程序,然而,在试验的过程中,我发现在一台电脑上不能同时开
2个OD进行对比,情况是这样的,我用一个OD载入原程序之后 下断 bp CreateFileA ,f9之后断下来了,然后用另外一个od载入
加壳后的程序 下断 bp CreateFileA,然后f9 怎么就断不下来,OD还是出现载入时的界面。无赖之中,只有带着电脑回到公司
为什么在一台电脑上不能开两个?这个请各位大牛帮忙解释一下
然后我就开两台电脑,一台用OD载入原程序,然后自己的电脑用OD 载入脱壳后的程序进行对比跟踪。
最后发现很多跳转不对,这个自校验也太TM多了吧。以前开教程一般就才一处校验。。 下面贴出之校验的地方
1000DC4F /76 78 jbe short krnln.1000DCC9 1000DD2F /75 1E jnz short krnln.1000DD4F 004DD4B0 /75 05 jnz short Unpack_.004DD4B7 004DD6C6 /7F 0E jg short Unpack_.004DD6D6 004DDC49 /0F84 0A000000 je Unpack_.004DDC59 以上的地址是正确的,跳转有的我是改了的,呵呵。这里说明一下,大家对比的时候耐心点,因为我开始找到3个自校验地方的时候就保存了,结果运行还是提示“主文件被修改”,所以大家耐心找完就OK 了。
修改完之后 保存为另外一个exe文件,OK ,可以运行了。 文章我没写很详细,我也不想粘贴代码,关键的自校验地方已经找出来了。有兴趣的朋友可以下载来玩玩,软件是在多特
里面下载的 接下来是要搞定这个VIP注册了。近请期待吧。我下次更新写好一点,第一次没精夜啊。呵呵。 | 
[复制链接]
发表于 2011-3-26 11:45
发表于 2011-3-26 11:52
|
发表于 2011-3-26 11:54
