大家好,我是Hmily,今天给大家带来 Q宠保姆VC版 2.23 SP8版2007.09.13脱壳教程,需要的工具有:
PEiD,OD,Volx大侠ASProtect脚本(http://www.unpack.cn/viewthread.php?tid=9487),ImportREC,Overlay 最终版,Resource Binder......(这些网上都能下到,就不提供了)
这个是我上次脱Q宠保姆VC版 2.23 SP7版 2007.09.06的记录:http://hi.baidu.com/52hmily/blog/item/53d0757f787a120b28388a04.html
好,开始,先查下壳
普通扫描:ASProtect V2.X Registered -> Alexey Solodovnikov * Sign.By.fly [Overlay] *注意是有附加数据的
用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]
第一步:脱壳
先OD载入吧,运行脚本,就会自动脱壳了,脱完先修复,先查看OD运行记录,再打开ImportREC,然后对照着填OEP地址,点获取输入表,再点修复转存文件。
第二步:处理附加数据
好了,现在来处理附加数据,打开Overlay,点复制Overlay,这样就处理了附加数据
第三步:去自校验
现在还是运行不了,看来是有自校验,我们把脱好的程序再次载入OD,在命令出输入:bp CreateFileA,回车,按F9运行,到这就可以了,下面看清楚,点反汇编窗口中跟随,F2下端,F9运行到这里,取消断点,这里都是系统的领空,我们要到程序的领空去,按F8先跟到程序领空,好,这里已经到系统领空了,下面还是用F8跟,后面慢慢来,大家看好,
004638D8 . A3 04DB4D00 mov dword ptr [4DDB04], eax
004638DD . E8 61F5FFFF call 00462E43
004638E2 . E8 272BFFFF call 0045640E
004638E7 . 85C0 test eax, eax
004638E9 . 0F85 15010000 jnz 00463A04 ————跳转没实现
004638EF . 52 push edx
004638F0 . 57 push edi
004638F1 . C1D2 E7 rcl edx, 0E7
004638F4 . 83EA 03 sub edx, 3
004638F7 . 68 28214200 push 00422128
004638FC . 81D2 EC7E7BD3 adc edx, D37B7EEC
00463902 . 5A pop edx
00463903 . FF32 push dword ptr [edx]
00463905 . 335424 08 xor edx, dword ptr [esp+8]
00463909 . 335424 28 xor edx, dword ptr [esp+28]
如果这样下去你会发现程序就结束了,说明这里是关键的跳转,我们先看看,继续跟,出错了,好了,现在我们重新载入程序,直接跳到刚才那个地方004638E9,
004638E9 . /0F85 15010000 jnz 00463A04
没实现跳转,我们来让他实现,可以直接把JNZ改成JMP就可以了,保存
好,我们现在再看看能不能运行,晕,刚才突然点错了,我们继续,OK,可以啦,查下壳 VC8 -> Microsoft Corporation [Overlay] *,我们再用Resource Binder给它优化下,重建资源,
程序也会小点,好了,这样教程就结束了。
浙公网安备 33010602011771号