-
-
[求助]关于TMDIAT修复的问题,很奇怪.请大侠进来提点一下
-
发表于:
2010-11-18 01:02
5328
-
[求助]关于TMDIAT修复的问题,很奇怪.请大侠进来提点一下
首先这个TMD可能是高版本的?或者是低版本的?我不太清楚,虽然也脱过几个TMD壳的软件,但是多数都是我的PEID查不出来的,自己靠经验脱得.
在解决TMD壳的IAT加密部分,如果让TMD对API加密了,太恶心了..所以我一般都是通过改MAGIC JUMP来解决的. 以前脱过几个软件的,改动了一下修改CRC效验部分然后就可以轻松地搞定了.这次朋友拿来一个软件让我脱壳,一旦我修改了MAGIC JUMP那里的代码,TMD会出现内部错误,不修改的话,绝对是不会出现的..内部错误.据观察貌似是在TMD的虚拟机里面..小弟能力有限,实在是搞不懂到底是什么一个情况了..
MAGIC JUMP的代码如下:
0065F794 2BD9 sub ebx,ecx ; 这里是检测是否加密
0065F796 90 nop
0065F797 90 nop
0065F798 90 nop
0065F799 90 nop
0065F79A 90 nop
0065F79B 90 nop
0065F79C F9 stc
0065F79D 8B9D 71192F07 mov ebx,dword ptr ss:[ebp+72F1971]
0065F7A3 0F8B 08000000 jpo 客户端.0065F7B1
0065F7A9 0F86 02000000 jbe 客户端.0065F7B1
0065F7AF 60 pushad
0065F7B0 61 popad
0065F7B1 2BD9 sub ebx,ecx
0065F7B3 90 nop
0065F7B4 90 nop
0065F7B5 90 nop
0065F7B6 90 nop
0065F7B7 90 nop
0065F7B8 90 nop
NOP掉的部分,都是我修改了的部分.我再修改了的部分下硬件的内存访问断点,想试图找到CRC效验的部分,但是很悲剧i的是会在以下代码处出现一个TMD内部错误的窗口:
0054362E /E9 3B800000 jmp 客户端.0054B66E
00543633 |B9 04000000 mov ecx,4
00543638 |81C3 B901135F add ebx,5F1301B9
0054363E |01CB add ebx,ecx
00543640 |E9 BC620000 jmp 客户端.00549901
00543645 |66:0FB602 movzx ax,byte ptr ds:[edx] ; 内部错误
00543649 |57 push edi
0054364A |E9 44620000 jmp 客户端.00549893
0054364F |68 100C0000 push 0C10
00543654 |890C24 mov dword ptr ss:[esp],ecx
会在我提示的地方出现一个内部错误,这个已经是我第二次遇到这种情况了.第一次我以为是机子的问题,这次我想应该是TMD的新技术?还是什么呢?小弟能力浅薄,希望能有大侠提点一下.
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!