| 动画介绍:悠悠心算2006 V1.0的脱壳与解决自校验
本动画根据看雪上cyto兄的脱文而做成。谢谢cyto兄~
原文地址:http://bbs.pediy.com/showthread.php?threadid=20486
交流群号:26502145。潜水者莫来~!偶又重新写了一篇脱文,CYTO兄不要介意~
过程:查壳没结果,看区段有一个aspack段,难道aspack变形?载入OD。F7+F4到达
00A28001 60 pushad
00A28002 E8 03000000 call yyxs.00A2800A ;用 ESP定律
00A28007 - E9 EB045D45 jmp 45FF84F7
00A2800C 55 push ebp
00A2800D C3 retn
00A2800E E8 01000000 call yyxs.00A28014
到达这里。单步几下之后dump~
程序不能运行。修复后。程序运行一闪就退出。自校验。。。大家对不起,刚才断了。继续
载入修复后的程序,一直F9运行直到程序退出。在堆栈里找退出的程序hanshuo ExitProcess。。。找到这里有一个。。
0012FB34 ]0012FDF4
0012FB38 |00404E0B 返回到 UnCac_.00404E0B 来自 <jmp.&kernel32.ExitProcess>
0012FB3C |00000000
0012FB40 |0012FDF4
0012FB44 |0046CA04 UnCac_.0046CA04
0012FB48 |00000000
0012FB4C |00000002
0012FB50 |0064DAAD 返回到 UnCac_.0064DAAD 来自 UnCac_.00404D4C 右键反汇编窗口跟随
0012FB54 |0012FDFC 指针到下一个 SEH 记录
0012FB58 |0064E7B2 SE 句柄
****************************************************************************************
来到这里
0064DAA5 48 dec eax
0064DAA6 7E 05 jle short UnCac_.0064DAAD
0064DAA8 > E8 9F72DBFF call UnCac_.00404D4 ; 这个CALL搞鬼。大家可以自己试下。修改跳转
0064DAAD 8B45 FC mov eax,dword ptr ss:[ebp-4] ; 来到这里~!
0064DAB0 8B80 2C030000 mov eax,dword ptr ds:[eax+32C]
0064DAB6 BA 04E86400 mov edx,UnCac_.0064E804 ; ASCII "crack*.*"
0064DABB E8 08B5FFFF call UnCac_.00648FC8
****************************************************************************************
运行程序还是一运行就退出。这自校验就是强~!用同样的方法找到第2个跳转处修改。保存。程序可以运行。但是那文件夹内还是只能有一个.EXE文件。多的程序自己会删除。。汗~~
继续看我演示,去掉第2个自校验程序~
可以运行了。至于原文中的第3个校验,我没找到。程序就可以运行~~看看原文~~动画到这里。大家再见 | 
安全中国首页 > 动画中心 > 脱壳动画
