-
-
[旧帖]
去掉类似KeyGen运行时的音乐
0.00雪花
-
发表于:
2010-2-26 09:53
2757
-
[旧帖] 去掉类似KeyGen运行时的音乐
0.00雪花
【文章标题】: 【原创】去掉类似KeyGen运行时的音乐
【文章作者】: ddsoft
【作者主页】: www.33vc.com
【软件名称】: 点点-多开补丁
【下载地址】: 附件
【加壳方式】: UPX
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
本人学医,业余时间学了点C++编程,去年看《疯狂的程序员》得知看雪,注册后,发现文章看不懂。很少来,2010年2月放寒假时开始学习汇编,几天前才
买到《加密与解密》。初学破解,难免有错误,希望大家多多指教。
目前有点心得,继续努力,可惜CrakeMe要kx才能下载。哪位大哥能送个邀请码就好了。。。
查壳为UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo。
在此介绍几中种常用方法脱去此壳。目前技术不到家,模拟跟踪和最后一次异常法还不太会用。,
1.脱壳机。最简单,但学不到真正的技术。
2.两步断点法。点工具栏上的M或按ALT+M,到达内存镜像,.rsrc这一行,
按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的.CODE(也就是00401000处),按F2下断点!然后按SHIFT+F9(或者是在没异常情况下按F9),直接到达程序OEP!0042322E
3.ESP定律。
OD载入后第一行就是PUSHAD ,条件反射就知道可以用ESP定律了。这是我最喜欢的方法。
4.一步到达OEP。
因为有PUSHAD,必有popad,所以,OD载入后按Ctrl+F,输入:popad(适合少数壳,包括UPX,ASPACK壳),然后按下F2,F9运行到OEP 0042322E 的上一行了。
0042322E > 8D4424 80 lea eax,dword ptr ss:[esp-80]
00423232 6A 00 push 0
00423234 39C4 cmp esp,eax
00423236 ^ 75 FA jnz short Unpack_.00423232
00423238 83EC 80 sub esp,-80
0042323B - E9 32ECFDFF jmp Unpack_.00401E72
00423240 0000 add byte ptr ds:[eax],al
00423242 0000 add byte ptr ds:[eax],al
00423244 0000 add byte ptr ds:[eax],al
00423246 0000 add byte ptr ds:[eax],al
00423248 0000 add byte ptr ds:[eax],al
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
