网站 › ≮ 软件脱壳 ≯ › 初学Crack，手脱Jdpack v2.0

黑夜彩虹 发表于 2006-7-18 22:42:05

初学Crack，手脱Jdpack v2.0

【破文标题】初学Crack,手脱Jdpack v2.0过程
【破文作者】黑夜彩虹
【破解工具】OD
【破解平台】Windows 2K&XP
【软件名称】Jdpack v2.0
【软件大小】
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享 :)
【破解过程】感谢叶子兄的帮助~~
1、先运行程序
2、OD附加进来(文件-->附加-->选择FileName)，附加进出停在这里：
77F5120F   C3         retn
77F51210   8BFF         mov edi,edi
77F51212   90         nop
77F51213   90         nop
77F51214   90         nop
77F51215   90         nop
77F51216   90         nop
77F51217 n>CC         int3
77F51218   C3         retn

打开可执行模块(Alt+E)，双击FileName
00401000   2A78 10      sub bh,byte ptr ds:
00401003   66:06      push es
00401005   880F         mov byte ptr ds:,cl
00401007   - 66:79 FE   jns short 00001008
0040100A   0E         push cs
0040100B   66:2E:6B10 6>imul dx,word ptr cs:,66
00401010   4C         dec esp
00401011   EA 0F66A272 >jmp far 6610:72A2660F
00401018   3AF7         cmp dh,bh
0040101A   0E         push cs
0040101B   66:7B 65   jpo short 00001083

往下拉：
00401220   - FF25 5410400>jmp dword ptr ds:      ; MSVBVM60.rtcUpperCaseVar
00401226   - FF25 0C10400>jmp dword ptr ds:      ; MSVBVM60.__vbaVarMove
0040122C   - FF25 6810400>jmp dword ptr ds:      ; MSVBVM60.EVENT_SINK_QueryInterface
00401232   - FF25 5010400>jmp dword ptr ds:      ; MSVBVM60.EVENT_SINK_AddRef
00401238   - FF25 6010400>jmp dword ptr ds:      ; MSVBVM60.EVENT_SINK_Release
0040123E   - FF25 A810400>jmp dword ptr ds:      ; MSVBVM60.ThunRTMain
00401244   68 001E4000push CrackMe.00401E00          //这里...
00401249   E8 F0FFFFFFcall CrackMe.0040123E          ; jmp 到
0040124E   0000         add byte ptr ds:,al

重新载入程序，Ctrl+G：401244
00401244   92         xchg eax,edx                  //下内存断点，F9
00401245   D9F1         fyl2x
00401247   F0:CA 7C7A   lock retf 7A7C               ; 不允许锁定前缀
0040124B   B7 4A      mov bh,4A
0040124D   52         push edx
0040124E   A0 92ACF1F0mov al,byte ptr ds:

F9运行后，第1次停在这里：
0040762E   AC         lods byte ptr ds:
0040762F   E8 33000000call CrackMe.00407667
00407634   57         push edi
00407635   8B4C24 10    mov ecx,dword ptr ss:
00407639   8381 C400000>add dword ptr ds:,8
00407640   ^ 72 E0      jb short CrackMe.00407622

第2次停在这里：
00407718   AA         stos byte ptr es:
00407719   E8 34000000call CrackMe.00407752

第3次停在这里：
004079DE   F3:A4      rep movs byte ptr es:,byt>
004079E0   E8 34000000call CrackMe.00407A19

第4次停在这里：
0041153F   8807         mov byte ptr ds:,al

第5次停在这里：
00401244   68 001E4000push CrackMe.00401E00    //OEP Dump吧~~

------------------------------------------------------------------------
【版权声明】本破文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

痕迹 发表于 2006-7-18 23:23:04

嘿嘿
來支持下

快雪时晴 发表于 2006-7-19 01:07:33

拜读了，强

野猫III 发表于 2006-7-19 12:06:51

http://www.unpack.cn/viewthread.php?tid=517&highlight=Jdpack

支持个，感觉还没脱过这个壳。低版本的就有。

在网上搜索了一下，没找到这个加壳软件。

可能的原因是它不怎么受欢迎的吧。

[ 本帖最后由 野猫III 于 2006-7-19 12:10 编辑 ]

黑夜彩虹 发表于 2006-7-20 10:09:44

原帖由 野猫III 于 2006-7-19 12:06 发表
http://www.unpack.cn/viewthread.php?tid=517&highlight=Jdpack

支持个，感觉还没脱过这个壳。低版本的就有。

在网上搜索了一下，没找到这个加壳软件。

可能的原因是它不怎么受欢迎的吧。


PYG上也有这个壳的主程序，我试加了几次delphi的程序，都以失败告终，可能是壳的兼容性不好，故用的人不多~~

wofan 发表于 2006-8-5 11:37:18

真害死人， 怎么做出这种壳， 它的早期版本还可以用，新版本启动时间这么长，它在干什么？
一删除了之。

flyskey 发表于 2008-4-16 01:35:23

强啊 呵呵 有Crack的天赋

查看完整版本: 初学Crack，手脱Jdpack v2.0