第一课作业

夜之魂

【文章名称】:作业1
【文章作者】:夜之魂
【组织名称】:PYG
【软件名称】:作业1
【破解工具】:OD PEID
【保护方式】:ASPack 2.12
【破解难度】:简单
============================================================
【软件介绍】利用ASPack 2.12 加壳，主要是脱壳,脱壳后用PEID查为Microsoft Visual Basic 5.0 / 6.0

============================================================
【破解分析过程】
00405001 作>  60                pushad                          ; 标准的壳入口，并且对应的为POPAD
00405002     E8 03000000       call 作业1.0040500A               ; 此处跟人，否则跑飞
00405007   - E9 EB045D45       jmp 459D54F7
0040500C     55                push ebp
0040500D     C3                retn
0040500E     E8 01000000       call 作业1.00405014               ; 此处跟人，否则跑飞
00405013     EB 5D             jmp short 作业1.00405072
00405015     BB EDFFFFFF       mov ebx,-13
0040501A     03DD              add ebx,ebp

F8往下，遇见回跳，就F4过，一直来到
0040539A     B8 28110000       mov eax,1128
0040539F     50                push eax
004053A0     0385 22040000     add eax,dword ptr ss:[ebp+422]
004053A6     59                pop ecx
004053A7     0BC9              or ecx,ecx
004053A9     8985 A8030000     mov dword ptr ss:[ebp+3A8],eax
004053AF     61                popad                           ; 标准出口
004053B0     75 08             jnz short 作业1.004053BA
004053B2     B8 01000000       mov eax,1
004053B7     C2 0C00           retn 0C
004053BA     68 28114000       push 作业1.00401128
004053BF     C3                retn                            ; 此处返回进入程序领空
004053C0     8B85 26040000     mov eax,dword ptr ss:[ebp+426]


============================================================
【破解分析过程总结】利用ASPack 2.12 加壳，主要是脱壳，个人总结：找到POPAD，标准的壳出口，快速脱壳


============================================================
      *************本文章版权归: 【夜之魂】 所有*************
       另外ICEMEN的作业和我的不一样？？/:?
他的作业PEID查壳 PECompact 1.68 - 1.84 -> Jeremy Collake

[ 本帖最后由 夜之魂 于 2006-1-5 20:39 编辑 ]

云瑞

进步很大啊，恭喜！

野猫III

004053BF     C3                retn                            ; 此处返回进入程序领空
不是程序的领空了吗？