网站 › ≮ 软件脱壳 ≯ › 查为未知，深扫为ASP2。12的脱壳心得

ly83 发表于 2005-10-6 22:40:57

查为未知，深扫为ASP2。12的脱壳心得

【破解作者】 风明月
【作者邮箱】 [email protected]
【作者主页】 http://ws548378.blogone.net/
【使用工具】 peidOD ImporREC
【破解平台】 Win9x/NT/2000/XP
【软件名称】 彩票通分析型选3软件系列
【软件大小】 1。53MB
【破解声明】 我是一只小菜鸟，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------------------------
【破解内容】


老方法。peid查壳。显示Nothing found [覆盖] *深度扫一下。同样。核心扫一下。ASPack 2.12 -> Alexey Solodovnikov [覆盖]
用插件OEP。出来一结果0040ACE0，后来脱完壳后，给pentacle发了一张脱完后的图片。他说他知道真实的OEP也就是我脱出来的OEP可是我搞不明白。在他细细的讲了一下。才知道原来他知道是根据
0040ACE0-00400000=的结果。呵呵。这个我不知道。一会把这个写完了。就去再看看老大的第四课。看是怎么注解的
隐藏OD，请出OD载入程序。来到
0074B000 >60            pushad    --------载入程序停下的地方
0074B001    EB 05         jmp short Main.0074B008
0074B003    E8 EB044000   call 00B4B4F3
0074B008^ EB FA         jmp short Main.0074B004
0074B00A    E8 0A000000   call Main.0074B019
0074B00F    E8 EB0C0000   call Main.0074BCFF
0074B014    E8 F6FFFFFF   call Main.0074B00F
0074B019    E8 F2FFFFFF   call Main.0074B010
CTRL+G输入我们刚刚OEP查出的那个字0040ACE0确定，我们来到
0040ACE0    B1 7E         mov cl,7E----------来到这句代码处
0040ACE2    90            nop
0040ACE3    06            push es
0040ACE4    B3 D1         mov bl,0D1

按F4，程序在这里被断下来
7C801A24 >8BFF            mov edi,edi    ----程序在这里被断下，
7C801A26    55            push ebp
7C801A27    8BEC            mov ebp,esp
7C801A29    FF75 08         push dword ptr ss:
按F4四下。每次F4地址都和上面的一样。只是你就会发现右边寄存器的值在改变。第四次就会跳到
0040ACE0    55            push ebp   -------F4第四次程序跳到这里。在这里脱壳
0040ACE1    8BEC            mov ebp,esp
0040ACE3    6A FF         push -1
0040ACE5    68 F0916400   push Main.006491F0

脱壳后查壳Microsoft Visual C++ 5.0
运行。出错。请出Importrec修复一下。运行。显示出错。点击确定。程序运行，说明此程序还有自校验。因为是脱壳所以别的就不说了。

--------------------------------------------------------------------------------
【破解总结】


说实话，这个壳一开始在7C801A24 处断下来时。我是F8慢慢的向下走。走了好多代码，过了跟进了两个CALL才进入的入口点。后来在我反复想简化脱壳上找方法。试。才有了这个F4四次到达程序的入口。所以我有些不明白了。是不是我在操作上有些什么出错的地方。不然F4是不是就是一下子就来到程序的入口点呢？还请高手们多多指点
--------------------------------------------------------------------------------
【版权声明】 本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

[ Last edited by ly83 on 2005-10-6 at 10:42 PM ]

qxtianlong 发表于 2005-10-6 22:47:37

晕，怎么会一下就到呢，如果程序跨段太大可能会飞掉的
4次就到了，你很幸运了

ly83 发表于 2005-10-6 23:29:37

呵呵。你问我。我也不知道。因为我是菜菜。呵呵。开始是F4一次后。慢慢的一步一步的找到的入口。后来是脱完后。试试看怎么样才会快。才有了这个脱壳文章。可能有些时不能按常理来说吧。你可以去试试。不过一定要记着载入时要隐藏OD不然就会死

ihhvqu 发表于 2005-10-13 09:18:36

为什么不用ESP定律，试试呢？
我想了一下这个壳的特征，用ESP定律应该很快搞定的！！！！

skyege 发表于 2005-10-17 00:44:26

也算是一种法子吧，呵呵

查看完整版本: 查为未知，深扫为ASP2。12的脱壳心得