圣天狗SHK 1.2狗壳脱壳
忘记是什么时候写的了,有笔记和视频录像,没地方放录像,就先发个笔记吧,当然是带狗脱。本来来下易语言补丁的,哈哈,竟然要花币,想来骗点币的。直接发了吧,币没毛用,又不能买东西吃。
SHK 1.2 dll脱壳
------------------------------------------------
在第1节就一直看jmp跟进 看到第一个call就下断,F9运行到此,回车跟进call,再看jmp跟进,如此循环跟,一直到第2节
到第2节后,向下找标志
cmp dword ptr ,0
jeshort XXXX
jmp XXXX 回车跟进,向下找第一个call下断,F9运行到此,回车跟进,象第1节那样继续,一直到第3节;
到第3节后,向下找标志
movdword ptr ,0
cmpdword ptr ,0
jeshort XXXX 在这里F2下断,F9运行到此,取消断点
jmpXXXX 回车跟随
跟随后,在下面的第一个call下断点,向上找一点点,在
pop eax
pop ecx 在这里点右键,查找命令cmpdword ptr ,0
pop edi
Call XXXX
找到后,F2下断,F9运行到此,把下一行jnz处直接NOP掉,然后向下找,有点远,找到
and eax,XXXXXXXX XX数有点大;找到这,向下找
mov eXx,dword ptr
cmp eXx,dword ptr 看右边提示列里有一个系统函数的注释,可以在数据窗口中查看这个系统函数
jb或ja XXXX 这里改成jmp,F2下断后运行到此,取消断点,按F9运行
会在Call处,取消断点跟随,之后又是jmp和call断下后跟进循环,一直到第4节
第4节,就是我们要找的OEP了,用LoadPE进行Dump。
IAT可以从数据窗口里找,也可以进OEP下面的第一个call里去看,有call系统函数地方,进去看,在数据窗口里查看寻找连续的IAT即可。用ImportREC修复IAT输入表(里面几个不能识别的函数Cut掉就行)。
SHK好象没有对dll的文件进行IAT加密,找IAT时,是在第2个call里进去看;
下面修复重定位表
记下ImageBase地址
10000000
01E30000
用ReloX修复重定位表
完工
SHK 1.2 exe脱壳
-----------------------------------------------------------------------------------------
目标壳:圣天诺SHK开发包1.2加的壳
在第1节就一直看jmp跟进 看到第一个call就下断,F9运行到此,回车跟进call,再看jmp跟进,如此循环跟,一直到第2节
到第2节后,向下找标志
cmp dword ptr ,0
jeshort XXXX
jmp XXXX 回车跟进,向下找第一个call下断,F9运行到此,回车跟进,象第1节那样继续,一直到第3节;
到第3节后,向下找标志
movdword ptr ,0
cmpdword ptr ,0
jeshort XXXX 在这里F2下断,F9运行到此,取消断点
jmpXXXX 回车跟随
跟随后,在下面的第一个call下断点,向上找一点点,在
pop eax
pop ecx 在这里点右键,查找命令cmpdword ptr ,0
pop edi
Call XXXX
找到后,F2下断,F9运行到此,把下一行jnz处直接NOP掉,然后向下找,有点远,找到
and eax,XXXXXXXX XX数有点大;找到这,向下找
mov eXx,dword ptr
cmp eXx,dword ptr 看右边提示列里有一个系统函数的注释,可以在数据窗口中查看这个系统函数
jb或ja XXXX 这里改成jmp,F2下断后运行到此,取消断点,按F9运行
会在Call处,取消断点跟随,之后又是jmp和call断下后跟进循环,一直到第4节
第4节,就是我们要找的OEP了,用LoadPE进行Dump。
IAT可以从数据窗口里找,也可以进OEP下面的第一个call里去看,有call系统函数地方,进去看,在数据窗口里查看寻找连续的IAT即可。用ImportREC修复IAT输入表(里面几个不能识别的函数Cut掉就行)。 不错学习了。是无狗脱壳?还是有狗? 楼主有没有其他狗的破解 感谢发布原创作品,PYG有你更精彩! 谢谢分享 楼主牛x学习一下操作流程 谢谢分享 楼主牛x学习一下操作流程 先踩踩点,有时间再来```
页:
[1]