两次内存访问断点秒脱一款未知壳之《中小学排课系统 V7.26》

野猫III

软件大小：  1181 KB
软件语言：  简体中文
软件类别：  国产软件 / 共享版 / 教育管理
应用平台：  Win9x/NT/2000/XP/2003

下载地址：http://www.skycn.com/soft/16042.html
更新时间：  2006-06-28 09:39:16
下载次数：  11295
推荐等级：  
联 系 人：  jyg892163.com
开 发 商：  http://www.educationsoft.cn/  

软件介绍：本人自认为这是一款操作最简单、使用最方便、视图最易懂、课表生成最快捷的中小学的排课软件，本软件无需安装：你只需填好“排课工作簿.xls”中相应的信息，然后运行“排课系统.exe”进行排课、调课。
一、本软件功能：
能排合班课；
能排单双周课；
能解决机房、操场、实验室等场地冲突的课务；
能设定某时间不排某课；
能排连课（两节连上的大课）等功能；
支持从您现有的Excel文档的课表导入各班课表，使你立即就能用本软件管理贵校课务；
能将生成的课表导出到Excel文档，并且有几种格式，让你随心所欲地修改、排版。
二、使用方法：
1.首先打开“排课工作簿.xls”，将贵校的有关数据输入其中，这个工作簿中共有11个工作表，您首先看一下里面的第一个工作表“使用说明”，里面有各种要求和设置的说明，同时每个工作表中还有自己的输入说明，请仔细阅读；
2.数据输入完毕后保存、关闭“排课工作簿.xls”，运行本软件“排课系统.exe”，执行菜单【排课】→【导入所有数据】；
3.数据导入完毕后就可自动排课了：执行菜单【排课】→【课表安排】→【日课表】或点击“自动排课”按钮。

脱壳过程：
一、用PEiD查得Nothing found *
二、OD忽略所有异常，载入程序，停在：
0051FD20 >  E8 8BFFFFFF     CALL 排课系统.0051FCB0
0051FD25    CC              INT3
0051FD26    CC              INT3
0051FD27    CC              INT3
0051FD28    CC              INT3
0051FD29    CC              INT3
0051FD2A    CC              INT3
＋＋＋ALT＋M打开内存映射窗口，找到：
内存映射, 条目 19
地址=00512000
大小=0000D000 (53248.)
属主=排课系统 00400000
区段=.rsrc
包含=资源
类型=Imag 01001002
访问=R
初始访问=RWE
＋＋＋＋F2下断，Shift+F9运行程序，被中断在：
0051F926    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
0051F928    8BC8            MOV ECX,EAX
0051F92A    83E1 03         AND ECX,3
0051F92D    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
0051F92F    A1 0C045200     MOV EAX,DWORD PTR DS:[52040C]
0051F934    85C0            TEST EAX,EAX
0051F936    74 49           JE SHORT 排课系统.0051F981
＋＋＋＋再次ALT＋M打开内存映射窗口，找到：
内存映射, 条目 16
地址=00401000
大小=00084000 (540672.)
属主=排课系统 00400000
区段=.text
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
＋＋＋＋＋F2下断，Shift+F9运行程序，被中断在：
0044C6DE    6A 60           PUSH 60　//OEP,Dump~Fix~~ 想念风球兄！
0044C6E0    68 F8BA4800     PUSH 排课系统.0048BAF8
0044C6E5    E8 66210000     CALL 排课系统.0044E850
0044C6EA    BF 94000000     MOV EDI,94
0044C6EF    8BC7            MOV EAX,EDI
0044C6F1    E8 EA0C0000     CALL 排课系统.0044D3E0
0044C6F6    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
0044C6F9    8BF4            MOV ESI,ESP
0044C6FB    893E            MOV DWORD PTR DS:[ESI],EDI
0044C6FD    56              PUSH ESI
0044C6FE    FF15 D4534800   CALL DWORD PTR DS:[4853D4]               ; kernel32.GetVersionExA
三、PEiD说：程序由Microsoft Visual C++ 7.0编写。

[ 本帖最后由 野猫III 于 2006-7-2 23:23 编辑 ]

黑夜彩虹

感谢猫兄。。。。学习

野猫III

原帖由 黑夜彩虹 于 2006-7-2 23:17 发表
感谢猫兄。。。。学习

小黑，这是咱们第二课常用脱壳方法中的一种方法。

努力咯～～～

味道

强啊 猫子是强人啊

ToT

PEiD深度扫描好像是UPolyX v0.5 壳

chp1

感谢猫兄。。。。学习

chp1

两次内存访问断点秒脱一款未知壳之