软件就不多说拉。脱也只是昨天晚上心血来潮，所以随便看看老王的壳。我很少写破文的，所以书写工具都没有的。大家将就将就，又由于大家都知道的xxx原应，所以就不放代码上来拉。我就说我的方法。

首先我们需要Dump程序。我以前写工具的时候发现两种注入Encrypt的有效方法，键盘钩子，和修改输入表。为了方便，我先用Dll注入调用函数强制结束进程，把Encrypt的进程变成了普通进程。

然后用LordPE dump出来。资源正常。^_^

接下来我们需要得到OEP,我的分析方法很简单，看看我们都拥有什么。dump文件。够拉。 我们应该知道程序用Delphi写成。那么我们用一个标准的Delphi程序来帮助我们找OEP,我们都知道，同一语言编译的程序，入口点有一些字节是固定不变的，我们还应该知道，Delphi的程序入口点一般都在代码段的结尾，也就是他后面不远处有很多0,那么用winHex吧。找固定的那字节，加上n个0，我们轻松的找到了OEP,好象是$004C7748吧。我记不清楚了。（我现在在网吧凭空写此文）。然后修改dump文件的OEP,用PEid的普通模式看，呵呵，轻易找到Borland 6-7,好拉。说明OEP正确。

BTW:现在可以用DeDe 反编译。还原出很多非常有用的东西来。^_^

现在我们用reimport 填入OEP找IAT,有几个正确的。我们不管。先把正确的提出来，然后修改到Dump文件中。 这个时候Dump能正常装入，（不是运行）。好象会出现014XXXXX地址读取错误，不管，反正我们用od装入能到入口点。

分析代码一看，原来输入表的跳转jmp dword 全部替换成了jmp了。我们再次注入程序看看究竟跳到哪儿拉。哈哈，从$1490000（我的电脑是的，不知道别的如何。）开始，就是输入表的跳转表。我们看看大小，然后记下来。

这个时候注入我写的通用IAT修复工具。选上create New thread 选项。然后获取输入表，哈，没有模拟API,这个时候修复IAT到dump文件。

然后写工具还原Jmp到jmp dword.
接下来就是修复解码和SDK拉。解码其实非常容易。我们甚至不需要去分析算法，我们看看被加密的代码是什么样子。一个call 7XXXXXX.(也就是EPEv20053134.epe空间里面的)。后面代码加密了2字节。我们需要做什么呢？很简单。我们手动在输入表里面加入这个dll.然后再次装入，运行到这个call时。不要F8,需要跟入，然后返回，看看，下面代码自动修复了。我们需要的就是用nop替换这个call,然后把正确的代码还原到dump文件上去。对于sdk,昨天晚上，4点多我由于体力不支，倒下拉，今天晚上回去研究。

上面说到的工具。我会在以后放出来，主要是现在在外面。而且在网吧。



如果方便的话。改天我把过程和代码也贴上来。不过脱后的文件嘛就免拉。那样太没技术含量，也太不仁义了。

[课程]Android-CTF解题方法汇总！