第四课作业

Iceman

【破文标题】作业
【破文作者】Iceman
【作者邮箱】[email protected]
【破解工具】OD、PEID
【破解平台】XP sp2
------------------------------------------------------------------------
想找个自校验的，还真不易。有些太难，做不了。还好在OCN上找到一个CRACKME

1、查壳 ASPack 2.12 -> Alexey Solodovnikov

ESP定律脱壳，修复，程序不能运行

脱壳后 Microsoft Visual Basic 5.0 / 6.0

2、载入OD

命令行 bp CreateFileA

运行

7C801A24 k>  8BFF            mov edi,edi         ／／停在这
7C801A26     55              push ebp
7C801A27     8BEC            mov ebp,esp
7C801A29     FF75 08         push dword ptr ss:[ebp+8]



0012F444   7C826CAB  /CALL 到 CreateFileA 来自 kernel32.7C826CA6
0012F448   0012F834  |FileName = "C:\Documents and Settings\Cracker\桌面\050912160747__4_crac\11_.exe"
0012F44C   80000000  |Access = GENERIC_READ
0012F450   00000003  |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE


Alt+F9 执行到用户代码

00404425     8BF8            mov edi,eax      ／／来到这


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
00404425处往上看

004042FC     83C4 10         add esp,10
004042FF     50              push eax
00404300     68 702E4000     push 11_.00402E70                              ; UNICODE "Ollydbg.exe"
00404305     FF15 74104000   call dword ptr ds:[<&msvbvm60.__vbaStrCmp>]    ; msvbvm60.__vbaStrCmp
0040430B     85C0            test eax,eax
0040430D   ^ 0F85 D8FEFFFF   jnz 11_.004041EB

这个应该是反OD调式的
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

00404425处往下看

0040444F     8BF0            mov esi,eax
00404451     FFD3            call ebx
00404453     81FE 003E0000   cmp esi,3E00                    ／／比较当前文件和原来文件的大小，esi为脱壳后文件的大小
00404459     74 58           je short 11_.004044B3           ／／不跳，程序无法运行。je改为jmp
0040445B     A1 40534000     mov eax,dword ptr ds:[405340]
00404460     85C0            test eax,eax
00404462     75 10           jnz short 11_.00404474

把 00404459 处的je改为jmp后，运行，程序正常






------------------------------------------------------------------------

------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者信息并保持文章的完整, 谢谢!