野猫III 发表于 2006-6-17 00:08:06

这样脱UltraProtect 1.x -> RISCO Software Inc.壳对否?

一、OD除了非法内存访问之外,别的都忽略。

二、OD重新载入程序,Hide.
0047B000 >60            PUSHAD//载入后,F9程序运行
0047B001    7E 03         JLE SHORT 脱吧.0047B006
0047B003    7F 01         JG SHORT 脱吧.0047B006
0047B005    E8 EB0175EB   CALL EBBCB1F5
0047B00A    017B 76         ADD DWORD PTR DS:,EDI
0047B00D    0366 0B         ADD ESP,DWORD PTR DS:
0047B010    C641 43 7A      MOV BYTE PTR DS:,7A
0047B014    037B 01         ADD EDI,DWORD PTR DS:
0047B017    7B 0F         JPO SHORT 脱吧.0047B028
0047B019    8C05 000000B8   MOV WORD PTR DS:,ES
0047B01F    B8 73F1DFEB   MOV EAX,EBDFF173
0047B024    017A 87         ADD DWORD PTR DS:,EDI
0047B027    CB            RETF                                     ; 远返回
+++++++++++++++++++++++++++
运行到这被断下:
0048CAFB    CD 01         INT 1
0048CAFD    40            INC EAX
0048CAFE    40            INC EAX
0048CAFF    0BC0            OR EAX,EAX
0048CB01    75 05         JNZ SHORT 脱吧.0048CB08
0048CB03    90            NOP
0048CB04    90            NOP
0048CB05    90            NOP
0048CB06    90            NOP
0048CB07    61            POPAD
0048CB08    33C0            XOR EAX,EAX
0048CB0A    64:8F00         POP DWORD PTR FS:
0048CB0D    58            POP EAX
0048CB0E    60            PUSHAD
0048CB0F    E8 00000000   CALL 脱吧.0048CB14
++++ALT+M打开内存映射:
内存映射, 条目 22
地址=00401000
大小=00061000 (397312.)
属主=脱吧   00400000
区段=CODE
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
+++++++++++F2下断后再Shift+F9:
0045E764    55            PUSH EBP             //OEP?
0045E765    8BEC            MOV EBP,ESP
0045E767    83C4 EC         ADD ESP,-14
0045E76A    33C0            XOR EAX,EAX
0045E76C    8945 EC         MOV DWORD PTR SS:,EAX
0045E76F    B8 6CE54500   MOV EAX,脱吧.0045E56C
0045E774    E8 C780FAFF   CALL 脱吧.00406840
+++++++++++++++++++++=

方法就以上,但修复之后,程序还是被系统报错。运行不了。不知何解。谢谢!

[ 本帖最后由 野猫III 于 2006-6-17 00:10 编辑 ]

wzwgp 发表于 2006-6-17 17:34:18

是什么软件,下载下来后不能运行,只有一*exe文件,是否还需要其他文件才能运行?我这样脱不知对吗?

0047B000 >60            pushad                           ; F8
0047B001    7E 03         jle   short 0047B006
0047B003    7F 01         jg      short 0047B006
0047B005    E8 EB0175EB   call    EBBCB1F5
0047B00A    017B 76         add   , edi

hr esp    F9

00497E3C   /EB 01         jmp   short 00497E3F             ; 断在此   F8
00497E3E   |E8 FF25817E   call    7ECAA442
00497E43    49            dec   ecx
00497E44    0060 E8         add   , ah


00497E3F- FF25 817E4900   jmp                     ; 到此 F8
00497E45    60            pushad
00497E46    E8 00000000   call    00497E4B


0045E764    55            push    ebp                         ; oep
0045E765    8BEC            mov   ebp, esp
0045E767    83C4 EC         add   esp, -14
0045E76A    33C0            xor   eax, eax
0045E76C    8945 EC         mov   , eax
0045E76F    B8 6CE54500   mov   eax, 0045E56C
0045E774    E8 C780FAFF   call    00406840
页: [1]
查看完整版本: 这样脱UltraProtect 1.x -> RISCO Software Inc.壳对否?