- UID
- 475
注册时间2005-3-30
阅读权限20
最后登录1970-1-1
以武会友
 
TA的每日心情 | 无聊
2022-9-12 06:24 |
|---|
签到天数: 188 天 [LV.7]常住居民III
|
【破解作者】 风明月
【作者邮箱】 ws5483@tom.com
【作者主页】 http://ws548378.blogone.net/
【使用工具】 peid OD ImporREC
【破解平台】 Win9x/NT/2000/XP
【软件名称】 彩票通分析型选3软件系列
【软件大小】 1。53MB
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【破解内容】
老方法。peid查壳。显示Nothing found [覆盖] *深度扫一下。同样。核心扫一下。ASPack 2.12 -> Alexey Solodovnikov [覆盖]
用插件OEP。出来一结果0040ACE0,后来脱完壳后,给pentacle发了一张脱完后的图片。他说他知道真实的OEP也就是我脱出来的OEP可是我搞不明白。在他细细的讲了一下。才知道原来他知道是根据
0040ACE0-00400000=的结果。呵呵。这个我不知道。一会把这个写完了。就去再看看老大的第四课。看是怎么注解的
隐藏OD,请出OD载入程序。来到
0074B000 > 60 pushad -------- 载入程序停下的地方
0074B001 EB 05 jmp short Main.0074B008
0074B003 E8 EB044000 call 00B4B4F3
0074B008 ^ EB FA jmp short Main.0074B004
0074B00A E8 0A000000 call Main.0074B019
0074B00F E8 EB0C0000 call Main.0074BCFF
0074B014 E8 F6FFFFFF call Main.0074B00F
0074B019 E8 F2FFFFFF call Main.0074B010
CTRL+G输入我们刚刚OEP查出的那个字0040ACE0确定,我们来到
0040ACE0 B1 7E mov cl,7E ----------来到这句代码处
0040ACE2 90 nop
0040ACE3 06 push es
0040ACE4 B3 D1 mov bl,0D1
按F4,程序在这里被断下来
7C801A24 > 8BFF mov edi,edi ----程序在这里被断下,
7C801A26 55 push ebp
7C801A27 8BEC mov ebp,esp
7C801A29 FF75 08 push dword ptr ss:[ebp+8]
按F4四下。每次F4地址都和上面的一样。只是你就会发现右边寄存器的值在改变。第四次就会跳到
0040ACE0 55 push ebp -------F4第四次程序跳到这里。在这里脱壳
0040ACE1 8BEC mov ebp,esp
0040ACE3 6A FF push -1
0040ACE5 68 F0916400 push Main.006491F0
脱壳后查壳Microsoft Visual C++ 5.0
运行。出错。请出Importrec修复一下。运行。显示出错。点击确定。程序运行,说明此程序还有自校验。因为是脱壳所以别的就不说了。
--------------------------------------------------------------------------------
【破解总结】
说实话,这个壳一开始在7C801A24 处断下来时。我是F8慢慢的向下走。走了好多代码,过了跟进了两个CALL才进入的入口点。后来在我反复想简化脱壳上找方法。试。才有了这个F4四次到达程序的入口。所以我有些不明白了。是不是我在操作上有些什么出错的地方。不然F4是不是就是一下子就来到程序的入口点呢?还请高手们多多指点
--------------------------------------------------------------------------------
【版权声明】 本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!
[ Last edited by ly83 on 2005-10-6 at 10:42 PM ] |
|
IP卡
发表于 2005-10-6 22:40:57
提升卡
置顶卡
变色卡
千斤顶
显身卡
楼主
发表于 2005-10-17 00:44:26