wuhanqi 发表于 2009-8-2 00:25:02

JDPack 1.01 简单No Nag

【文章标题】: JDPack 1.01 简单No Nag
【文章作者】: wuhanqi
【作者邮箱】: [email protected]
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
闲来没事,玩个简单的壳,无聊写点文章~

1.主程序脱壳.懂啥叫ESP定律不?

2.脱好壳,用这个未注册版的软件随便压缩一个软件.

运行压缩后的文件提示:This file PACKED by Unregistered JDPack 1.01..........

我们先OD载入加壳后的文件看看哪里弹注册框.

F8结合F4可以很快速的来到:

0041B3D0    8385 FD314000 0>ADD DWORD PTR SS:,4
0041B3D7^ E9 3BFFFFFF   JMP 0041B317
0041B3DC    83C6 14         ADD ESI,14
0041B3DF    8B95 65344000   MOV EDX,DWORD PTR SS:
0041B3E5^ E9 A8FEFFFF   JMP 0041B292
0041B3EA    6A 30         PUSH 30
0041B3EC    8D9D 4D324000   LEA EBX,DWORD PTR SS:
0041B3F2    53            PUSH EBX
0041B3F3    8D9D 61324000   LEA EBX,DWORD PTR SS:
0041B3F9    53            PUSH EBX
0041B3FA    6A 00         PUSH 0
0041B3FC    FF95 D5314000   CALL DWORD PTR SS:         ; 这里就弹出了那该死的提示框
0041B402    8B95 65344000   MOV EDX,DWORD PTR SS:
0041B408    8B85 ED314000   MOV EAX,DWORD PTR SS:
0041B40E    03C2            ADD EAX,EDX
0041B410    894424 1C       MOV DWORD PTR SS:,EAX
0041B414    61            POPAD
0041B415    50            PUSH EAX
0041B416    C3            RETN
0041B417    40            INC EAX

我们截取一段特征代码.

6A 30 8D 9D 4D 32 40 00 53 8D 9D 61 32 40 00 53 6A 00 FF 95 D5 31 40 00

好了,接下来用OD载入我们脱好壳的主程序.

F9跑程序.

Alt+M打开内存镜像.搜索我们这段特征代码.

应该能找到两处.一处在程序代码段,另一处应该在内存里.

我们Ctrl+G来到代码段的地址.
00402F9C|> \83C6 14       |ADD ESI,14
00402F9F|.8B95 65344000 |MOV EDX,DWORD PTR SS:
00402FA5|.^ E9 A8FEFFFF   \JMP 00402E52
00402FAA      6A 30         PUSH 30
00402FAC|.8D9D 4D324000 LEA EBX,DWORD PTR SS:
00402FB2|.53            PUSH EBX
00402FB3|.8D9D 61324000 LEA EBX,DWORD PTR SS:
00402FB9|.53            PUSH EBX
00402FBA|.6A 00         PUSH 0
00402FBC|.FF95 D5314000 CALL DWORD PTR SS:
00402FC2|.8B95 65344000 MOV EDX,DWORD PTR SS:
00402FC8|.8B85 ED314000 MOV EAX,DWORD PTR SS:
00402FCE|.03C2          ADD EAX,EDX
00402FD0|.894424 1C   MOV DWORD PTR SS:,EAX
00402FD4|.61            POPAD

修改00402FAA      6A 30         PUSH 30
为 00402FAA   /EB 16         JMP SHORT 00402FC2

右键.保存一下程序.

接下来再用它压缩软件.

是不是没有提示框了?

3.欢迎大家加分回复共勉~

--------------------------------------------------------------------------------
【经验总结】
菜鸟,真总结不出来啥...

--------------------------------------------------------------------------------
【版权声明】: 菜鸟一个,没啥版权...

                                                       2009年08月02日 0:20:36

修一明 发表于 2009-8-12 13:54:08

好东西为啥没人来顶呢?

Nisy 发表于 2009-8-12 21:27:33

不错 去壳的NAG基本的方法确实如此

都是先分析加壳后程序的NAG 然后再去用特征码定位壳解码后的代码

这个壳失败的地方 就是壳段没有做压缩或加密 否则还原起来还是很麻烦的

issac010 发表于 2009-8-13 11:23:01

学习了....

asdfslw 发表于 2009-11-2 10:38:06

这么好的文章都没有人顶。。。
我来顶一下吧!
顺便发个NoNag的版本。就是按楼主的方法修改后的JDPack 1.01。
页: [1]
查看完整版本: JDPack 1.01 简单No Nag