请问这是rockey4的壳吗?
我们公司买了套小型软件,是带加密狗的,一直没机会接触带加密狗的程序,正好这次有了机会,我把公司的加密狗拿回家,使用加密狗找到了真正的入口点,没有加其他壳.经过跟踪应该是rockey4的壳,但我在网上也下载了带rockey4壳的crackme,发现入口点和自己这个程序不一样,而且还有很多花指令,网上下载的crackme却没有花指令,壳的区段也不相同,网上下载的是RYDNG,而我这个程序却是RY4SHL.不过因为有狗,所以还是找到了真正的入口点,在41EF30.是用VC写的,用IMRc可以用跟踪级别1找到无效的函数,但还是有些为假,把为假的函数剪切后再修复抓取文件却不能运行,提示内存不能为读.如果不用加密狗调试真正的入口点就是错的.请老大帮我看看这个程序是不是rockey4的壳,找到入口点后要怎样修复呢?谢谢.我是这样调试的,不知道方法对不对,但能用狗来到入口点.
ALT+M打开内存映射,对401000下内存访问断点,按F9运行,在8C84DF中断,取消内存断点.一直F8走,到8C867D跟进.
008C867D E8 CB2D0000 call aote-DJ.008CB44D -->检测狗
008C8682 85C0 test eax,eax
008C8684 75 4E jnz short aote-DJ.008C86D4
008C8686 EB 0A jmp short aote-DJ.008C8692
.
.
.
008C8760 /74 20 je short aote-DJ.008C8782-->要跳,检测调试器
008C8762 |6A 00 push 0
008C8764 |6A 00 push 0
008C8766 |68 78E28A00 push aote-DJ.008AE278
008C876B |E8 2EFDFFFF call aote-DJ.008C849E
008C8770 |59 pop ecx ; aote-DJ.008AE278
008C8771 |50 push eax
008C8772 |6A 00 push 0
008C8774 |FF15 FC818A00 call dword ptr ds:
008C877A |6A 00 push 0
008C877C |FF15 E8808A00 call dword ptr ds:
008C8782 \833D 34E48A00 0>cmp dword ptr ds:,0
好像没有狗不能得到真正的OEP代码.
附件里有我脱壳后的程序,但不能运行.
下载附件 要找到狗的密码才行的. 我这有狗,到了真正入口点,是VC写的,但Dump下来并修正了IAT,运行不了,难道要补区段?这个rockey狗好像和rockey4的不一样,好多花指令.而且区段名和我在网上下的也不一样.
页:
[1]