程序:老王的vfp&exe2.0演示版2002.4.29版
下载地址:http://cfyn.yeah.net
工具:importREC v1.4.2+, fi249, trw2000,bw2000,winhex
fi249报告该程序用upx+cryptor加密
找入口:BW2000报告为476824-400000=076824
运行trw2000
bpx 476824
运行vfpexe2.exe断下后
suspend
运行importRECua并激活vfpexe2
入口改为76824点IAT AotuSearch,点Get Imports
点右键->选select code section(s)条,将name下的框全选
点Full dump存盘保存
用winhex调入脱壳后的文件,将入口点09e000修改为076824
运行脱壳后的文件......没反应???
经用trw2000跟踪发现在47248e处有一陷阱
47248e CMP EAX,[EBP-28]
记下[EBP-28]处的值为01f2fee26,eax=03a8e3d6
用winhex在程序中找4A91F201换为B214A803即大功告成
至于演示版700K的限制有两处很好改,自己看着办吧。
改演示版700K限制
找:833D78A9470072
第一处将7E5D改为EB5d
第二处将0F8E93000000改为90E993000000
第二处陷阱:47433a B820A10700 MOV EAX,0007A120
改为: 47433a B8203F0d00 MOV eax,000d3f20
这样改后还须再次修改3f0处的数据
trw2000再次调入程序
G 47248E
EAX=03a8e4c3
将3F0处改为C3E4A803
|
安全中国首页 > 文章中心 > 脱壳技术