【破文作者】S.P.S.G
【作者邮箱】spsgeyro@gmail.com
【所属组织】Winter[CZG]
【组织主页】http://www.5icrack.com
【个人主页】http://winternight.blogchina.com/
【使用工具】Fuckall,PEiD
【操作系统】Windows 2003
--------------------------------------------------------------------------------
【软件名称】阿达宠物园 V2.80
【下载地址】http://www.skycn.com/soft/20722.html
【软件大小】3282 KB
【破解难度】Normal
【保护方式】ACprotect
【软件语言】Microsoft Visual Basic 5.0 - 6.0
【软件简介】美丽的办公小姐又在埋头工作了,可别被假象骗了哦,她们是在玩阿达系列软件新推出的休闲小游戏阿达宠物园!
继阿达连连看后,阿达宠物园带着一群可爱的宠物来陪伴您打败无聊和寂寞啦,还等什么,开始游戏吧。
一、简单的游戏方式带来无穷的乐趣。
二、可爱的小动物,悠闲的画面风格,清新幽雅。
三、别致的细节设计,恰如其分的音乐、音效,令人欲罢不能。
四、特别提示:只要按键盘上的“空格键”即可快速暂停并且最小化游戏!(这就是传说中的老板键哦)
版本更新:修正游戏结束音乐不停止问题。
【破解目的】初尝脱壳,望赐教
--------------------------------------------------------------------------------
【过程】
最近初尝脱加密保护的壳,正好看见二哥的阿达连连看脱文,顺便下了个阿达宠物园,一个地方出的,肯定差不多的壳,一样的语言。
用Peid查壳,Nothing found *,EP区段.perplex,看了二哥的文章,ACprotect。
OD异常设置不忽略内存异常,全自动隐藏OD插件开启,载入程序。
004CD000 > 60 PUSHAD //停在这里
004CD001 E8 01000000 CALL adapet.004CD007
004CD006 - 7D 83 JGE SHORT adapet.004CCF8B
004CD008 04 24 ADD AL,24
004CD00A 06 PUSH ES
004CD00B C3 RETN
004DE74D CD 01 INT 1 //F9后停在这里,最后一次异常
004DE74F 40 INC EAX
004DE750 40 INC EAX
004DE751 0BC0 OR EAX,EAX
004DE753 75 05 JNZ SHORT adapet.004DE75A
Alt+M 打开内存镜像
内存镜像,项目 22
地址=00401000 //下访问断点,然后shift+F9
大小=000C5000 (806912.)
Owner=adapet 00400000
区段=.text
包含=code
类型=Imag 01001002
访问=R
初始访问=RWE
004024B4 - FF25 30124000 JMP DWORD PTR DS:[401230] //来到这里,就是伪OEP吧?
004024BA 0000 ADD BYTE PTR DS:[EAX],AL
004024BC E4 10 IN AL,10 ; I/O 命令
004024BE 27 DAA
004024BF 3BE6 CMP ESP,ESI
004024C1 46 INC ESI
004024C2 0AA9 53460000 OR CH,BYTE PTR DS:[ECX+4653]
004024C8 40 INC EAX
004024C9 0000 ADD BYTE PTR DS:[EAX],AL
004024CB 0030 ADD BYTE PTR DS:[EAX],DH
004024CD 0000 ADD BYTE PTR DS:[EAX],AL
004024CF 0038 ADD BYTE PTR DS:[EAX],BH
004024D1 0000 ADD BYTE PTR DS:[EAX],AL
004024D3 0000 ADD BYTE PTR DS:[EAX],AL
004024D5 0000 ADD BYTE PTR DS:[EAX],AL
004024D7 00A3 277445FD ADD BYTE PTR DS:[EBX+FD457427],AH
堆栈提示:
0012FFBC 004E3C8A 返回到 adapet.004E3C8A 来自 adapet.004024B4
0012FFC0 004026A0 adapet.004026A0
0012FFC4 77E1F38C 返回到 kernel32.77E1F38C
根据VB程序一般入口代码作改动:
把
004024BA 0000 ADD BYTE PTR DS:[EAX],AL
改为
004024BA 68 A0264000 PUSH adapet.004026A0 //直接用OD插件修正入口为24BA用重建输入表方式1脱壳。
004024BF E8 F0FFFFFF CALL adapet.004024B4 ; JMP to MSVBVM60.ThunRTMain
脱完以后程序可以运行,但我知道这样脱完以后问题多多,是否ACprotect的壳一定需要解码完成再脱?
还望各位高手赐教,谢过。
--------------------------------------------------------------------------------
【版权声明】转载请注明作者以及确保文章完整性,谢谢
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法