DotFix NiceProtect 2.4 主程序脱壳

棒棒糖

我采用简单方法

1、OD载入，Shift+F9 运行  

2、Alt+E查看可执行模块，选择 DotFix NiceProtect.exe 双击来到401000段(也可以直接Ctrl+G来到401000段)

3、alt+b搜索FF25  拉到下面来  （一看就知是VB程序）
00404ECC  - FF25 C0124000   jmp     dword ptr [4012C0]               ; MSVBVM60.ThunRTMain ***看到这里***
00404ED2    0000            add     byte ptr [eax], al
00404ED4    8196 C45FD590 3>adc     dword ptr [esi+90D55FC4], 61F13D>
00404EDE    0000            add     byte ptr [eax], al
00404EE0    0000            add     byte ptr [eax], al
4、在404ECC上下硬件执行断点,重载程序Shift+F9 运行 中断在404ECC上
看堆栈
0012FBC8   00B46C80  DotFix_N.00B46C80
0012FBCC   0040B7C8  DotFix_N.0040B7C8  ****这个对修复OEP有用
5、修复OEP，根据语言特征来修复。
00404ED4    8196 C45FD590 3>adc     dword ptr [esi+90D55FC4], 61F13D>        改为push 40b7c8
00404EDE    0000            add     byte ptr [eax], al                                                  call 404ecc
00404EE0    0000            add     byte ptr [eax], al
改完后在404ED4新建EIP ，

6、dump 后拿ImportREC

完工 根据语言的OEP特性来脱壳真的是很爽

Nisy

感谢兄弟分享, 一会下载练习一下~~

DotFix NiceProtect 2.4
http://www.newfreedownloads.com/ ... ix-NiceProtect.html
Developer : 2.4Version :
Windows 98/ME/2000/XP Platform :
2 MbFile Size :
Free to try; $34 to buy License :
May 12, 2007 Date Added :
DotFix NiceProtect screenshotScreenshot :

小子贼野

看了后就一个字：太强啦~！

pw2000

向前辈学习。