-
-
DIY内存注册机――脱壳加修复!!!
-
发表于:
2005-7-11 17:31
5490
-
说起内存注册机可是个好东西~呵呵,不过如果大家对用keymake制做的内存注册机脱壳的话,会发现脱壳以后是无法使用的~~二哥老大曾提出用复制代码的方法去解决这个问题,不过其实还有更简单的方法~
方法:
我们先用PEID检查一下,发现是UPX-Scrambler RC1.x -> [Overlay],这个壳是UPX的变形壳,我们先来脱壳,这个可以用工具upx-ripper轻松脱调,也可以用FLY大哥的方法手脱,不过请注意,如果要按照下面的
方法修复注册机就一定要用软件脱壳!!!
我们找到一个注册机,用软件轻松脱调,不过现在你运行一下,会提示错误,我们开始修复~
用OD装入脱壳以后的文件,然后按Ctrl+F,输入sub eax,4800查找,记得选上“在全部区段”,找到以后我们直接汇编,把4800修改为9200,然后往下看,
还有一个语句push 4800也修改为push 9200,然后就可以
保存文件了~~~再运行看看?一切正常~~脱壳+修复完成!
原理:
大家可以先用LORDPE打开脱壳以前的注册机的最后一个.rsrc区段,点右键用16进制编辑,把滚动条往下拉到底就会看见一些附加数据,这些包括了目标软件名,断点地址等等重要信息,可以发现00004800是附加数据的开始地址,然后我们用同样的方法打开脱壳后的注册机,发现附加数据的开始地址变为了00009200,所以问题就在这里它找不到正确的数据,当然不能运行拉,我们把地址一修改过来,就一切OK了~~~~
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
