破解时候遇到些问题，特向各位大虾请教

boy

http://exs.mail.qq.com/cgi-bin/d ... 97d73136f0f6cda5da9

提取码：cc97c6f7

文件有700多K，上传不上来，麻烦各位大虾帮帮忙。

----------------------

文件加的是北斗乌龟壳（这个很好脱哈，脱壳后是delphi写的）

脱壳修复后不能运行，有错误提示。（应该是有自校验，我自己也试着找了下，没成功）



我说下我破解时候的困难：

有错误提示就不让他提示被，于是OD载入

直接运行程序。

寒，OD被kill了。看来想等出现错误提示时候暂停然后ALT+K找那message box是没戏了



无奈想不出什么好方法，只能用最“原始”的方法，双开OD硬着头皮一步一步跟了

……

跟了好久，中间OD被kill掉N次

最后到了



7C801E1F   /75 09           jnz short kernel32.7C801E2A     //这个跳跳了。前面有个循环好晕，我单步近千下才出来，好象不能在这下断直接过来，要不下面很多代码都没是NOP
7C801E21   |6A 06           push 6
7C801E23   |E8 88740000     call kernel32.7C8092B0
7C801E28   |EB 1B           jmp short kernel32.7C801E45
7C801E2A   \FF75 0C         push dword ptr ss:[ebp+C]    //上面的跳跳在这
7C801E2D    FF75 08         push dword ptr ss:[ebp+8]
7C801E30    FF15 FC13807C   call dword ptr ds:[<&ntdll.NtTerminatePr>; ntdll.ZwTerminateProcess    //这个CALL要进去，要不OD会被KILL



7C92E88E >  B8 01010000     mov eax,101    //进去后来到这里
7C92E893    BA 0003FE7F     mov edx,7FFE0300
7C92E898    FF12            call dword ptr ds:[edx]   //这里也要进去，因为我试了F8也会关掉OD
7C92E89A    C2 0800         retn 8



7C92EB8B >  8BD4            mov edx,esp  //再进就来到这里了
7C92EB8D    0F34            sysenter   //到这往下OD就会被关闭
7C92EB8F    90              nop         //这些可能是我直接在7C801E1F 下硬件断点shift+F9过来弄的代码没解压缩还是怎么回事吧
7C92EB90    90              nop
7C92EB91    90              nop
7C92EB92    90              nop
7C92EB93    90              nop
7C92EB94 >  C3              retn

-----------------------------

以上是我跟的，人太菜，各位高手别见笑。



希望有大虾指点一二。在这跟贴或发到邮箱[email protected]。小弟在此先谢过了。

angelfish

期待高手。。。。我也是菜鸟

boy

/:011 我在看雪也发了篇，有2好心的高手帮我解决了。有个说是我脱壳时候没脱好！

kungbim

只帮脱壳,校验自己搞定
h__p://rapidshare.com/files/90638265/usbdl8_.rar.html

[ 本帖最后由 kungbim 于 2008-2-10 20:11 编辑 ]

886788

脱壳时候没脱好！/:good

flyjmu

脱好后好像会检测OD  换个检测不到的OD就可以了 算法看不懂 不知道功能限制是什么啊/:L

xj721

不懂因为进来看看

yybns

简单的看了一下是北斗的壳，自校验应该是有两个。