PEiD: eXPressor.Protection.V1.7.0.1 -> CGSoftLabs   * Sign.By.fly * 20090606 *
Exeinfo PE: eXpressor PE Packer v1.7.0.1 (MODE: Protection)

你的PE什么版本？ 我从论坛下载的，是不是版本太老？ 查不出哦

你说的这个壳可以脱吗？ 怎么脱啊？

网上搜索看到有用 Reloz1.0 脱 eXPressor.Protection V1.6.0.1 的
但是用 Reloz1.0 脱这个 eXPressor.Protection V1.7.0.1 貌似没动静。
不行了 俺去睡会

请童鞋们帮帮俺 俺实在搞不定啊
脱好了给下载链接或者发到俺邮箱(压缩包文件readme.txt里有俺邮箱)

是高手没看到这个帖子？还是不屑？还是不乐意帮忙？还是真的这么难？还是什么什么原因？？

sosososososososos

如果没有达到VM那种程度带壳做就行了。没必要非得脱壳。这是我的想法啊

俺想用OD 和 HEX打开编辑啊 带壳弄不起来哦

我稍微看了看,当我调试到

04EB9E60    59              pop     ecx
04EB9E61    50              push    eax
04EB9E62    A1 4410EB04     mov     eax, dword ptr ds:[4EB1044]
04EB9E67    FF10            call    dword ptr ds:[eax]
04EB9E69    85C0            test    eax, eax
04EB9E6B  ^ 74 E5           je      short 04EB9E52
04EB9E6D    EB 01           jmp     short 04EB9E70
04EB9E6F    EA 68BBF597 6D5>jmp     far 506D:97F5BB68
04EB9E76    E8 42150000     call    04EBB3BD
04EB9E7B    85C0            test    eax, eax
04EB9E7D    59              pop     ecx
04EB9E7E    59              pop     ecx
04EB9E7F    8945 F8         mov     dword ptr ss:[ebp-8], eax
04EB9E82  ^ 74 CE           je      short 04EB9E52
04EB9E84    EB 01           jmp     short 04EB9E87
04EB9E86    888B 45F8FFD0   mov     byte ptr ds:[ebx+D0FFF845], cl
04EB9E8C    8945 FC         mov     dword ptr ss:[ebp-4], eax
04EB9E8F    EB 01           jmp     short 04EB9E92
04EB9E91    E8 33C03945     call    4A255EC9
04EB9E96    FC              cld
04EB9E97    0F94C0          sete    al
04EB9E9A    C9              leave
04EB9E9B    C3              retn
04EB9E9C    55              push    ebp
的时候 Stack [0012F6B8]=00000022
ecx=04E302C0, (ASCII "Debugger detected! You are not allowed to debug this application!")
明晚希望会有新的进展 呵呵

终于有高手帮忙了
大哥，俺默默地支持你，回头请你吃大排档 哈

eXPressor - Software Protection System and PE Compressor. Used as a compressor this tool can compress EXE files to half their normal size. Once compressed, the files execute just like normal. As a protector It is designed to protect applications against crackers. Also can help developers in creation of uncrackable registration keys, and implementation of trial version for protected software. Features: -excelent compression ratios ~70% (this is - tighter than .rar, .zip, upx etc.); -multilevel packing (over and over the same file); -support for various 32bit PE files like .exe, .dll, .net, .ocx, .scr; -customizable resource compression; password protection for applications; -counteraction to classical memory dumping tools; -detection of cracking tools like file or registry monitors, debuggers; -application integrity check (agains viruses, resource modifications); -anti-debugging and anti-disassembling; -anti memory patching techniques; -protection of application's imported functions using different methods (emulation etc.); -eXPressor offers a set of APIs for interaction betweend decompressing routines and protected applications; -registration keys system using RSA based encryption/decryption algorithm; -keys can be generated using specific hardware ID; say STOP to your application keygenerators; -"stolen" registration keys management, integration of stolen keys in new protected versions of the application; -eXPressor offers the possibility of creating "trial" versions of the application, with limited functionality, and limited evaluation time or number of executions; -reminder message in unregistered version of protected programs; -shell integration, project file saving, command line support and more
引用地址:http://zh.softlist.ws/info/301194/expressor/
自己翻译哦   这个壳还是比较新  比较高版本的

还有一点要补充一下的 这个GAME 软件 运行不了

终于完成脱壳了  
OEP:
00416677  |.  68 007F0000   push    7F00                             ; /RsrcName = IDC_ARROW
0041667C  |.  53            push    ebx                              ; |hInst
0041667D  |.  894424 48     mov     dword ptr ss:[esp+48], eax       ; |
00416681  |.  FF15 BC125C00 call    dword ptr ds:[5C12BC]            ; \LoadCursorA
00416687  |.  6A 04         push    4                                ; /ObjType = BLACK_BRUSH
00416689  |.  894424 48     mov     dword ptr ss:[esp+48], eax       ; |
0041668D  |.  FF15 24105C00 call    dword ptr ds:[5C1024]            ; \GetStockObject
00416693  |.  8B0D 305A5F00 mov     ecx, dword ptr ds:[5F5A30]       ;  Game.037B9152
00416699  |.  8D5424 2C     lea     edx, dword ptr ss:[esp+2C]
0041669D  |.  52            push    edx                              ; /pWndClass
0041669E  |.  894424 4C     mov     dword ptr ss:[esp+4C], eax       ; |
004166A2  |.  895C24 50     mov     dword ptr ss:[esp+50], ebx       ; |
004166A6  |.  894C24 54     mov     dword ptr ss:[esp+54], ecx       ; |
004166AA  |.  FF15 B8125C00 call    dword ptr ds:[5C12B8]            ; \RegisterClassA
004166B0  |>  E8 FBB20904   call    Game.044B19B0
004166B5  |.  53            push    ebx
004166B6  |.  57            push    edi
004166B7  |.  53            push    ebx
004166B8  |.  53            push    ebx

Microsoft Visual C++ 7.0

脱壳过程 :
由于eXPressor.Protection.V1.7.0.1   其他低版本的壳 比如v1.6的还是属于压缩壳,所以我估计新版本的也是压缩壳.所以直接内存断点就来到了OEP  之后就dump 和修复一下就好了  由于加壳的原程序不能运行 所以我也就没有知道行不行 呵呵

厉害 俺佩服死了
大虾 能不能把脱好壳的GAME.EXE上传到网上啊？ 俺下载下来看看

脫殼了，C++的程序，不過程序過大 = =，要傳上去可能有點問題

先WINRAR下 再上传  笨死了

dumped_.part001.rar
dumped_.part002.rar
dumped_.part003.rar
dumped_.part004.rar

上传的附件：

• dumped_.part001.rar （500.00kb，4次下载）
• dumped_.part002.rar （500.00kb，4次下载）
• dumped_.part003.rar （500.00kb，5次下载）
• dumped_.part004.rar （226.56kb，4次下载）

我稍微留了个神  为什么脱壳后会有65.6M大的?原文件才1M不到.有没有人知道为什么呢?这个压缩比例也太那个了吧.我尝试帮它减肥吧,可是也减不到哪去啊.郁闷了都~

是的 脱壳后一般都有60多M的
WINRAR下就小了 一般就几个M
这是一个网络游戏客户端执行文件，需要下载完整客户端以后才可以打开 哈哈

我也脱了一下玩玩，发现这个程序不是一般的大啊，但是运行的时候还是会发生错误，汗
还有那个config.dll就是个存储配置的ini文件一类的东西，空有dll名字而已。一般游戏主程序也就会释放点ini文件，如果释放dll那就带有病毒特征了。那个HanDes倒是输出了2个Decrypt和Encrypt函数…
unpacked.rar

上传的附件：

• unpacked.rar （1.59MB，3次下载）

这个GAME.EXE之所以大，是因为游戏很多的信息都放在客户端，而不是放在服务器端。
至于那个DLL，估计是怕别的服务器用他们的GAME.EXE，DLL里也许有他们服务器的IP? 这样只能连接到他们的服务器。

编辑：
看过有帖子说怎么给(GAME.)EXE文件加DLL, 但是俺不懂 所以也不会弄，既然他们能加，请问大虾们你们能不能把这个DLL取消掉呢？
还有。。。 DC4的问题 不知道怎么弄
注：关于什么是DC4的问题
这个游戏会有四种与服务器中断连接的情况，DC1\DC2\DC3\DC4
DC1 好像就是网络掉线了 就显示DC1
DC2 DC3 忘记是啥原因了
DC4 就是有异常的时候，比如经验太高等等

真是学无止境啊

優化我是會，但是你那個60MB的程式，優化有點難，所以我才沒有做優化。

注：原贴中的dll是game.dll,俺们这里的dll是config.dll
网络游戏 NONAMEPT

以下是原贴

Hooking a DLL in game.exe

I'm going to teach you how to hook your dll into the game, and preventing the game to execute if the dll doesnt exists, or if it isnt the real dll.

We need use these two functions:

LoadLibrary - To load, ofc.
GetProcAddress - To get the dll function handle.
ExitProcess - dont need to explain, right?

First, go to some place where you have enough code and, in hex, add the name of your dll and the main function.

Example:
Code:
005C75CB   . 67 61 6D 65 5C>ASCII "game.dll"        
005C75DB   . 6C 00          ASCII "l",0
005C75DD     00             DB 00
005C75DE     00             DB 00
005C75DF     00             DB 00
005C75E0     00             DB 00
005C75E1   . 44 6C 6C 45 6E>ASCII "DllEntryPoint",0

Now, we have to load.

Code:
PUSH 005C75CB
CALL kernel32.LoadLibrary (type Control+N, search for this function and you'll find the address).

After it, the dll handle will be stored in EAX, that we will use to check.

Code:
TEST EAX,EAX or CMP EAX,0
JE OFFSET

In the ficticial address, OFFSET, we will put the code to make the game close.

Code:
PUSH 1
CALL kernel32.ExitProcess

OK, now, after the JE, we have to check if it is really our DLL.

Code:
PUSH game.005C75E1 - the dll Function
PUSH EAX                              - The DLL handle we get in LoadLibrary
CALL KERNEL32.GetProcAddress

Now, if everything is fine, EAX must NOT contain a NULL value.
Then, we use the same technique that we used in LoadLibrary.

Code:
TEST EAX,EAX or CMP EAX,0
JE OFFSET
If everything is fine, none of the JE will be taken.
Now, we just have to return our code to its entrypoint.

If you are using PE Explorer, you could change the EP and dont have the need of making a jump in the EP.
But, if you have, you just need to restore the first 2 push you take to make a jump to this new code, and then JUMP back to the first call after the EP.