JDPack 1.01 简单No Nag

wuhanqi · 发表于 2009-8-2 00:25:02

【文章标题】: JDPack 1.01 简单No Nag
【文章作者】: wuhanqi
【作者邮箱】: wuhanqi@qq.com
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  闲来没事,玩个简单的壳,无聊写点文章~

  1.主程序脱壳.懂啥叫ESP定律不?

  2.脱好壳,用这个未注册版的软件随便压缩一个软件.

  运行压缩后的文件提示:This file PACKED by Unregistered JDPack 1.01..........

  我们先OD载入加壳后的文件看看哪里弹注册框.

  F8结合F4可以很快速的来到:

  0041B3D0 8385 FD314000 0>ADD DWORD PTR SS:[EBP+4031FD],4
  0041B3D7  ^ E9 3BFFFFFF    JMP 0041B317
  0041B3DC 83C6 14       ADD ESI,14
  0041B3DF 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465]
  0041B3E5  ^ E9 A8FEFFFF    JMP 0041B292
  0041B3EA 6A 30          PUSH 30
  0041B3EC 8D9D 4D324000 LEA EBX,DWORD PTR SS:[EBP+40324D]
  0041B3F2 53             PUSH EBX
  0041B3F3 8D9D 61324000 LEA EBX,DWORD PTR SS:[EBP+403261]
  0041B3F9 53             PUSH EBX
  0041B3FA 6A 00          PUSH 0
  0041B3FC FF95 D5314000 CALL DWORD PTR SS:[EBP+4031D5]          ; 这里就弹出了那该死的提示框
  0041B402 8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465]
  0041B408 8B85 ED314000 MOV EAX,DWORD PTR SS:[EBP+4031ED]
  0041B40E 03C2          ADD EAX,EDX
  0041B410 894424 1C    MOV DWORD PTR SS:[ESP+1C],EAX
  0041B414 61             POPAD
  0041B415 50             PUSH EAX
  0041B416 C3             RETN
  0041B417 40             INC EAX

  我们截取一段特征代码.

  6A 30 8D 9D 4D 32 40 00 53 8D 9D 61 32 40 00 53 6A 00 FF 95 D5 31 40 00

  好了,接下来用OD载入我们脱好壳的主程序.

  F9跑程序.

  Alt+M打开内存镜像.搜索我们这段特征代码.

  应该能找到两处.一处在程序代码段,另一处应该在内存里.

  我们Ctrl+G来到代码段的地址.
  00402F9C  |> \83C6 14    |ADD ESI,14
  00402F9F  |.  8B95 65344000 |MOV EDX,DWORD PTR SS:[EBP+403465]
  00402FA5  |.^ E9 A8FEFFFF \JMP 00402E52
  00402FAA    6A 30       PUSH 30
  00402FAC  |.  8D9D 4D324000 LEA EBX,DWORD PTR SS:[EBP+40324D]
  00402FB2  |.  53          PUSH EBX
  00402FB3  |.  8D9D 61324000 LEA EBX,DWORD PTR SS:[EBP+403261]
  00402FB9  |.  53          PUSH EBX
  00402FBA  |.  6A 00       PUSH 0
  00402FBC  |.  FF95 D5314000 CALL DWORD PTR SS:[EBP+4031D5]
  00402FC2  |.  8B95 65344000 MOV EDX,DWORD PTR SS:[EBP+403465]
  00402FC8  |.  8B85 ED314000 MOV EAX,DWORD PTR SS:[EBP+4031ED]
  00402FCE  |.  03C2       ADD EAX,EDX
  00402FD0  |.  894424 1C    MOV DWORD PTR SS:[ESP+1C],EAX
  00402FD4  |.  61          POPAD

  修改00402FAA    6A 30       PUSH 30
  为 00402FAA    /EB 16       JMP SHORT 00402FC2

  右键.保存一下程序.

  接下来再用它压缩软件.

  是不是没有提示框了?

  3.欢迎大家加分回复共勉~

--------------------------------------------------------------------------------
【经验总结】
  菜鸟,真总结不出来啥...

--------------------------------------------------------------------------------
【版权声明】: 菜鸟一个,没啥版权...

                                                   2009年08月02日 0:20:36

修一明 · 发表于 2009-8-12 13:54:08

好东西为啥没人来顶呢？

Nisy · 发表于 2009-8-12 21:27:33

不错去壳的NAG基本的方法确实如此

都是先分析加壳后程序的NAG 然后再去用特征码定位壳解码后的代码

这个壳失败的地方就是壳段没有做压缩或加密否则还原起来还是很麻烦的

issac010 · 发表于 2009-8-13 11:23:01

学习了....

asdfslw · 发表于 2009-11-2 10:38:06

这么好的文章都没有人顶。。。
我来顶一下吧！
顺便发个NoNag的版本。就是按楼主的方法修改后的JDPack 1.01。

		自动登录	找回密码
密码			加入我们

[原创] JDPack 1.01 简单No Nag

评分

相关帖子

本帖子中包含更多资源