【标 题】: 【原创】彩虹岛游戏脱壳过程详解
【作 者】: jiayanhui
【时 间】: 2012-05-25
【链 接】: ......
【软件名称】: 彩虹岛
【下载地址】: 自己搜索下载
【编写语言】: Borland Delphi 6.0 - 7.0
【使用工具】: OllyDBG ，Peid，lordPE，ImportREC
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
还没搞清楚怎么加图，弄明白后上图。
--------------------------------------------------------------------------------
第一步：采用Peid查壳
ASPack 2.12 -> Alexey Solodovnikov [Overlay]

第二步：使用od装载程序，利用平衡堆栈原理设置硬件访问断点，HW 0012FFC0,运行F9执行到ret代码继续F8运行，执行到如下位置
004C23F4      55            db      55                               ;  CHAR 'U'
004C23F5      8B            db      8B
004C23F6      EC            db      EC
004C23F7      83            db      83
004C23F8      C4            db      C4
004C23F9      E0            db      E0
004C23FA      33            db      33                               ;  CHAR '3'
004C23FB      C0            db      C0
004C23FC      89            db      89
004C23FD      45            db      45                               ;  CHAR 'E'
004C23FE      E4            db      E4
004C23FF      89            db      89
004C2400      45            db      45                               ;  CHAR 'E'
004C2401      E0            db      E0
004C2402      89            db      89

第三步：使用od的dumpdbg process或lordPE生成dump.exe文件并记录Entry Point C23F4

第四步：使用importREC 工具选择软件进程，修改入口点为C23F4，修复IAT,点击Fix dump，选择dump.exe,然后生成dump_.exe文件

第五步：运行Peid查看dump_.exe文件，Borland Delphi 6.0 - 7.0，运行程序脱壳成功

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法