真实的谎言 -- 让查壳工具下岗

最初由 鸡蛋壳 发布


你这个没什么用，我那个伪装才叫伪装。判断你这个伪装有一个好办法就是看EP是否压缩，而我的伪装可以做到未压缩。

放出来看看，总比在这里乱叫好！

DEARMOR 代码，兼作脱壳机教学

这才是cracker精髓

Asprotect v2.0 6.23 输入表修复
收藏！
BTW：又有活儿干了！

在VMWare虚拟机中实现trw2000的调试功能
谢谢.Virtual PC 小弟没用过,试试看

Elicense System V4.0脱壳――zMUD V7.05

最初由 flysky 发布
我试着重复了作者的破解过程，文中所述的破解过程大部分在我的电脑中已经成功重复了，但最终没能成功，有几个问题不是很清楚：
2. “007A3428 Zmud 只一次 or eax,A3895A27
”中，前面的在oD中出现了，后面的“or eax,A3895A27”是什么意思？“删除EP处Ollydbg默认设置的断点”是不是就是删除此断点？
3. 我用的是winxp_sp2英文版，对应的不是“7C921231 C3 retn

看得出你是初学脱壳,此等强壳不适合新手学习.
2.对,就是删除此断点
3.不同的系统,地址有所不同,但请理解原理,或者仔细核对汇编代码.

fly真乃一代脱神,偶勉强学习并脱壳完成,还没有吃透,继续学习中....

PESpin v1.1外壳分析(全篇)
支持！
好久不见，兄弟大有进展啊！

[翻译]利用代码注入脱壳

最初由 riijj 发布
好文，支持 !


(to springkang兄，文中提到 PEB ，是 process environment block )

多谢！

请问"ImportREC v1.6 FINAL"怎样安装各类插件
of course!

[求助]IDA Demo 4.7
没错
不可能搜不到！
零度地带 有下载！

有些软件壳几秒钟手工脱，但不能修复和运行，为什么？请看。。。
修复时取消断点

秦赢甲胄反盗版加密软件v1.1主程序简单脱壳
;) 学习

[翻译]在xp+olly下实现和98+SICE的断点HMEMCPY
不错，辛苦了。
不过小弟以为语法方面可以再润色一下，如：
原文：如何在OllyDbg +Windows XP情况下下Hmemcpy断点
润色：如何在OllyDbg +Windows XP环境下下Hmemcpy断点

原文：只要简单的下一个断点在内存的存取上
润色：只要简单的在内存的存取上下一个断点

如有得罪，不好意思了。
;)

[推荐]好东西不敢独享,PDF也疯狂
都很好用，谢谢了！

哪位大哥帮忙脱下EncryptPE V1.2003.5.18的壳
在论坛里混上一段时间，就会了！

EncryptPE V1.2003.5.18 脱壳疑问―Winxp s
我先对所有初学脱壳的朋友们说一句：不要急着去脱壳，请先吃透别人的脱文，仔细的学一遍，再去脱别的壳。

就此壳来讲，参看我的原文。
首先，运行一步后，看esp ，它的值是0006ffa4，下hr 0006ffa4，中间会弹出提示注册的对话框，点确定，不管它。中断后，再ALT+M，找到：内存镜像，项目 42
地址=01001000    //你看，这行地址与教程里的不同
大小=00012000 (73728.)
Owner=notepad  01000000
区段=EPE0    //但是，只要你看到这里就行了，EPE0 是个典型的标志，
类型=Imag 01001002
访问=R
初始访问=RWE

在这行下内存访问断点，F9中断。

会中断在oep处，用loadpe dump后，用impr修复，找到第一个无效的地址，我这里是00001000，所以ctrl+F2后，dd 01001000，下内存访问断点，ctrl+G,找到711a33a1（这是一个固定的地址，脱了很多这类壳，是通用的），
711A33A1     8B55 F8             mov edx,dword ptr ss:[ebp-8]
将ebp-8改为ebp-4。F9运行后，提示程序无法运行之类的错误，但此时所有的iat已经自动还原了，去修复吧！

再说一次，以上是一些要点，请吃透fly大侠和我的文章后，再动手操作！附件：dumped_.rar

[精华集]《看雪论坛精华6》，2005年1月发布
来晚了
谢谢老大辛苦劳动，还有对此有贡献的所有人！

2005年脱的第一个壳――PESpin V1.1 + UnPacked
厉害!
期待大侠的脱文!