| 破解工具:loader,trw2000, superbpm,Import REConstructor v1.4.2+ winhex 首先要谢谢电神大哥的指点(电神真是大好人,呵呵),没有他的指点,我现在还在拿着这个软件晕 :) 这个软件比较怪,用loader找到的入口是 jmp xxxxxxxx,开始我还以为找错了,后来脱出后用peid看是Watcom C/C++编写的软件,可能与vc++不一样吧. 一.找入口点 感谢fs0给我们带来loader这么个一个超cool的工具,用loader载入apdfprp.exe轻易找到入口 41a964. 二.用trw2000初步脱壳 下面要在入口处脱壳,打开SuperBPM,点erase,用trw载入apdfprp.exe,下g 41a964. 接着下pedump脱出程序. 三.修复import table 我脱这个程序的难点就在这里,因为用Import REConstructor v1.4.2+,在oep那里填0001a964,点IAI AutoSearch,结果说无效 :( 后来问电神大哥说oep那里要填00001000(至于为什么我就不清楚了,那位知 道的能不能告诉我一下,是不是Watcom C/C++的原因??) 打开原加壳程序,在Import REConstructor v1.4.2+ 的 Attach to an Active Process 窗口中选取apdfprp.exe的进程,然后在下方的oep处填入00001000,点IAI AutoSearch,再点Get Imports 然后点Show Invalid,在Imported Functions Found窗口里的无效地址上点鼠标右键,选Trace Leve11(disasm),再点show invaids,发现还有几个没有修复,再次在那几个没有修复的地址上点鼠标右键. 选中Plugin Tracer(Asprotect 1.2X Emul),再点show invaids应发现所有的dll显示 valid:Yes了。 因为真正的入口是41a964,所以这时在oep那里填入0001a964,再点Fix Dump,选中你用trw2000 pedump出的文件修复. 四.程序除错 运行脱后的程序报 API not found, please contect technical support 用trw2000载入下断点 bpx messageboxexa ,F5返回,程序被中断,按F10可看出 出错对话框地址是 00409518 0167:004094FB A3F0084500 MOV [004508F0],EAX 0167:00409500 85C0 TEST EAX,EAX 0167:00409502 7526 JNZ 0040952A //只要这里改成jmp 409552(7526改EB4E)就可以了 0167:00409504 6A10 PUSH BYTE +10 0167:00409506 68F9424400 PUSH DWORD 004442F9 0167:0040950B 6804434400 PUSH DWORD 00444304 0167:00409510 2EFF15FC254400 CALL NEAR [CS:004425FC] 0167:00409517 50 PUSH EAX 0167:00409518 2EFF1554264400 CALL NEAR [CS:00442654] //这里报API not found, please contect technical support 0167:0040951F 6A00 PUSH BYTE +00 0167:00409521 2EFF15F8264400 CALL NEAR [CS:004426F8] 0167:00409528 EB28 JMP SHORT 00409552 0167:0040952A 6A10 PUSH BYTE +10 0167:0040952C 57 PUSH EDI 0167:0040952D FF15F0084500 CALL NEAR [004508F0] //这里弹出警告 0167:00409533 85C0 TEST EAX,EAX 0167:00409535 751B JNZ 00409552 //关键 0167:00409537 6A10 PUSH BYTE +10 0167:00409539 6835434400 PUSH DWORD 00444335 0167:0040953E 683A434400 PUSH DWORD 0044433A 0167:00409543 2EFF15FC254400 CALL NEAR [CS:004425FC] 0167:0040954A 50 PUSH EAX 0167:0040954B 2EFF1554264400 CALL NEAR [CS:00442654] 最好还是要谢谢电神大哥,没有他的指点,我是怎么也脱不了这个壳的, :) |
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
热门文章
去除winrar注册框方法
最新文章
比特币病毒怎么破解 比去除winrar注册框方法
华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据
人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程
查看所有0条评论>>