-
-
手脱tElock 0.80加 用 FixRes.dll 手动修复举列
-
发表于:
2005-4-16 00:23
6987
-
手脱tElock 0.80加 用 FixRes.dll 手动修复举列
手脱 tElock 0.80 加 用 FixRes.dll 手动修复举例
Target: 小牧童 的“万能五笔2002”破解版(里面还DIY了他自己的签名,呵呆了,高呀)
Tools: OllyDbg1.10,LordPE, ImportRec, PEid0.93
OS: WinXp
用 PEid0.93 查得“万能五笔2002”是 tElock 0.80 -> tE!
用我的偶像 heXer 的脱壳机 脱唔倒 应该是版本不对口
于是来手脱一下:
(来个废话:以前一直不知怎么动它,看高手是玩得很轻松,怎么这里设断,那里设保留异常,
现在,感觉有点不同,不是我技术高了很多,而是心境好了,或许煅炼了一些耐性吧 )
言归正传:
好像没有设校验
脱 tElock 第一步可以先找 OEP
很容易的
忽略全部异常,直点运行,你会发现壳留下的“我曾到此一游”的蛛丝马迹 --
这时壳的初始代码已经脱光光了,CPU窗口拉上屋顶,就能看见醒目的 JMP OEP 的字样
找到是:423E1C
接着找壳解码:
通过一点的跟踪,可以很快知道壳在解码后,会搬运代码到原程序的空间,然后释放自己申请的临时块
所以中断 VirtualFree 比较方便
重来同样忽略所有异常,he VirtualFree
点运行
中断了,取消断点,这时在返回处会见到有个41000,查看这个块已经解码了
在 GetModuleHandleA 处下断点
He GetModuleHandleA
点运行
中断后,断点取消,返回用户代码空间会来到(Iat处理):
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
