- UID
- 49855
注册时间2008-5-1
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
【破文标题】QQ空间人气精灵脱壳和去自校验
【破文作者】冥冥
【作者主页】bbs.chinapyg.com
【破解工具】PEid,OD,等
【破解平台】XP
【软件名称】QQ空间人气精灵 V3.96 正式版
【软件大小】313KB
【原版下载】http://down.tt86.com/jl/qzone.rar
【保护方式】yoda's Protector 1.3
【软件简介】QQ空间人气精灵是一款提升QQ空间人气的辅助软件,它能自动模拟无数个真实用户访问你的QQ空间,从而达到刷QQ空间人气值的目的,同时还能提升QQ空间被随机访问到的机率,从根本上解决有人气没留言的问题,也起到刷阳光、雨露的作用。
【破解声明】这是我第一篇破文。本人也比较菜。。砖头什么的就别扔了
------------------------------------------------------------------------
【破解过程】脱壳先。。
00515060 > 55 push ebp
00515061 8BEC mov ebp,esp
00515063 53 push ebx
00515064 56 push esi
00515065 57 push edi
00515066 60 pushad
00515067 E8 00000000 call QQ空间人.0051506C //在这里要注意。程序运行到这里后。下HR ESP断点。
========================================>然后F9运行。按3次。运行到这里。
00511767 8D4424 80 lea eax,dword ptr ss:[esp-80]
0051176B 6A 00 push 0
0051176D 39C4 cmp esp,eax
0051176F ^ 75 FA jnz short QQ空间人.0051176B
00511771 83EC 80 sub esp,-80
00511774 - E9 23FBEEFF jmp QQ空间人.0040129C //在这里F4 运行到这里。然后F9运行。就到OEP了。应该是需要F4 两次才能运行到这里。
========================================>
0040129C 68 601A4000 push QQ空间人.00401A60 ; ASCII "VB5!6&vb6chs.dll"
004012A1 E8 F0FFFFFF call QQ空间人.00401296 ; jmp 到 MSVBVM60.ThunRTMain
004012A6 0000 add byte ptr ds:[eax],al
典型的VB程序。loadPE 脱壳。importREC修复。下面就是自校验的关键了。当然不能运行。没有错误提示。说明有自校验
=========================================>
载入脱壳后的程序。下BP rtcFileLen断点。然后F9运行到
7346E967 >/$ 55 push ebp
7346E968 |. 8BEC mov ebp,esp
7346E96A |. 81EC 40010000 sub esp,140
7346E970 |. 8D85 C0FEFFFF lea eax,dword ptr ss:[ebp-140]
7346E976 |. 50 push eax ; /Arg2
7346E977 |. FF75 08 push dword ptr ss:[ebp+8] ; |Arg1
7346E97A |. E8 E9000000 call msvbvm60.7346EA68 ; \MSVBVM60.7346EA68
7346E97F |. 85C0 test eax,eax
由于这是VB的模块。虽然在这里改一些跳转能打到正常运行的效果。但是不能保存。所以很郁闷。另想办法。
=========================================>
终于。在运行到
346E970 |. 8D85 C0FEFFFF lea eax,dword ptr ss:[ebp-140] 的时候。看下面的辅助窗口。
堆栈地址=0012F8BC
eax=00401206 (dumped_.00401206)
这个地方是唯一一个涉及到脱壳程序的。我苦于转不到程序的领空。所以就到这个地方看看。
==========================================>
00401206 - FF25 CC104000 jmp dword ptr ds:[<&msvbvm60.rtcFileLen>>; msvbvm60.rtcFileLen
这个地方。跳转到校验的模块。强忍心中的激动。NOP掉。保存。
哈哈。果然可以正常运行。就这样。这个自校验就结束了。
至于程序的破解。我真是无能为力。因为我用了半天这个软件。还没弄懂。所以也就无从下手。这里就留给大家破解了。
------------------------------------------------------------------------
【破解总结】对于程序的自校验。往往是阻碍新手脱壳的重点地方(确实阻碍了我这个新手好久)。这方面的资料也很少。但是只要我们有耐心。还是能找到突破点的。就比如我很想回到程序的领空一样。我就专门寻找这样的语句。这样的思路还希望能对大家有帮助。
------------------------------------------------------------------------
【版权声明】飘云阁首发。本文纯属技术交流。转载请著名作者信息并保持文章的完整。
这里附上破解后的软件供大家研究。
[ 本帖最后由 冥冥 于 2009-11-28 01:39 编辑 ] |
评分
-
查看全部评分
|