能力值:
( LV12,RANK:490 )
|
-
-
2 楼
汗~~经比较DUMP出来的文件和加密前大小一致
就是说等于把原先的软件运行起来,这不就是文件合并器嘛
再次感谢csjwaman的指导!
|
能力值:
( LV12,RANK:220 )
|
-
-
3 楼
00463F1B 8BC6 mov eax,esi
00463F1D E8 02FCFFFF call Akala.00463B24
00463F22 33C0 xor eax,eax
00463F24 5A pop edx
单步跟踪,修改 关节跳
来到这里
00463F1D E8 02FCFFFF call Akala.00463B24
程序就运行了~
跟进去
00463B24 55 push ebp
00463B25 8BEC mov ebp,esp
00463B27 83C4 9C add esp,-64
00463B2A 53 push ebx
00463B2B 56 push esi
00463B2C 57 push edi
00463B2D 33DB xor ebx,ebx
00463B2F 895D A0 mov dword ptr ss:[ebp-60],ebx
00463B32 895D 9C mov dword ptr ss:[ebp-64],ebx
00463B35 894D FC mov dword ptr ss:[ebp-4],ecx
00463B38 8BDA mov ebx,edx
00463B3A 8BF8 mov edi,eax
00463B3C 8B45 FC mov eax,dword ptr ss:[ebp-4]
00463B3F E8 A809FAFF call Akala.004044EC
00463B44 33C0 xor eax,eax
00463B46 55 push ebp
00463B47 68 523C4600 push Akala.00463C52
00463B4C 64:FF30 push dword ptr fs:[eax]
00463B4F 64:8920 mov dword ptr fs:[eax],esp
00463B52 8D55 9C lea edx,dword ptr ss:[ebp-64]
00463B55 33C0 xor eax,eax
00463B57 E8 F8EEF9FF call Akala.00402A54
00463B5C 8B45 9C mov eax,dword ptr ss:[ebp-64]
00463B5F 8D55 A0 lea edx,dword ptr ss:[ebp-60]
00463B62 E8 2D4EFAFF call Akala.00408994
00463B67 8B45 A0 mov eax,dword ptr ss:[ebp-60]
00463B6A E8 8D09FAFF call Akala.004044FC
00463B6F 8BF0 mov esi,eax
00463B71 8D45 B4 lea eax,dword ptr ss:[ebp-4C]
00463B74 33C9 xor ecx,ecx
00463B76 BA 44000000 mov edx,44
00463B7B E8 60F1F9FF call Akala.00402CE0
00463B80 C745 B4 44000000 mov dword ptr ss:[ebp-4C],44
00463B87 C745 E0 01000000 mov dword ptr ss:[ebp-20],1
00463B8E 66:8B45 08 mov ax,word ptr ss:[ebp+8]
00463B92 66:8945 E4 mov word ptr ss:[ebp-1C],ax
00463B96 8D45 A4 lea eax,dword ptr ss:[ebp-5C]
00463B99 50 push eax
00463B9A 8D45 B4 lea eax,dword ptr ss:[ebp-4C]
00463B9D 50 push eax
00463B9E 56 push esi
00463B9F 6A 00 push 0
00463BA1 6A 30 push 30
00463BA3 6A FF push -1
00463BA5 6A 00 push 0
00463BA7 6A 00 push 0
00463BA9 8B45 FC mov eax,dword ptr ss:[ebp-4]
00463BAC E8 4B09FAFF call Akala.004044FC
00463BB1 50 push eax
00463BB2 6A 00 push 0
00463BB4 E8 E727FAFF call Akala.004063A0 ; jmp to kernel32.CreateProcessA
来到 CreateProcessA Call 时
看下 堆栈
0012FB64 00000000 |ModuleFileName = NULL
0012FB68 00D7BA18 |CommandLine = "C:\Documents and Settings\Window XP\桌面\新建文件夹\Akala.lck"
0012FB6C 00000000 |pProcessSecurity = NULL
0012FB70 00000000 |pThreadSecurity = NULL
0012FB74 FFFFFFFF |InheritHandles = TRUE
0012FB78 00000030 |CreationFlags = CREATE_NEW_CONSOLE|NORMAL_PRIORITY_CLASS
0012FB7C 00000000 |pEnvironment = NULL
0012FB80 00D78B54 |CurrentDir = "C:\Documents and Settings\Window XP\桌面\新建文件夹"
0012FB84 0012FBBC |pStartupInfo = 0012FBBC
0012FB88 0012FBAC \pProcessInfo = 0012FBAC
0012FB8C 0012FC14 指针到下一个 SEH 记录
0012FB90 00463C52 SE 句柄
新建进程的文件地址在
0012FB68 00D7BA18 |CommandLine = "C:\Documents and Settings\Window XP\桌面\新建文件夹\Akala.lck"
复制下。修改后缀即刻~
注意:改文件的属性是隐藏的,所以操作是注意下~
这样就懒得我去 从 XXXX 到 YYYY 的复制罗~
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
最初由 cater 发布 注意:改文件的属性是隐藏的,所以操作是注意下~
这样就懒得我去 从 XXXX 到 YYYY 的复制罗~ ........
cater好多错别字
|
能力值:
( LV12,RANK:220 )
|
-
-
5 楼
最初由 ljy3282393 发布
cater好多错别字
切,不就是打错字阿~
呵呵~
我下次注意好了,现在我开始联系盲打,有时会打错的~
下次注意好了~
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
1、我脱ASPACK壳后再爆破密码壳,输入密码后为什么会出现decrypting(解释明白的意思)?而且生成一个同名的.lck文件,一关闭对话框这文件就消失了,请指教!!!
2、文中说到“把从001937F8处开始的大小为D000的缓冲区数据全部DUMP出来,保存为.exe文件即可。”请问在OD怎样把缓冲区数据DUMP出来呢?多多指教
3、就是说等于把原先的软件运行起来,这不就是文件合并器嘛
这种说法能解释一下吗,谢谢
|
能力值:
( LV9,RANK:290 )
|
-
-
7 楼
辛苦了,支持
另类完美脱壳,运行加壳的软件,先用process Explorer工具,关闭*.lck的句柄,然后直接拷贝一个即可,这个就是原文件(当然,前题是知道密码,或调试强行路过密码检测)
|
能力值:
( LV12,RANK:980 )
|
-
-
8 楼
最初由 clide2000 发布 辛苦了,支持
另类完美脱壳,运行加壳的软件,先用process Explorer工具,关闭*.lck的句柄,然后直接拷贝一个即可,这个就是原文件(当然,前题是知道密码,或调试强行路过密码检测)
没试过这种方法。
to 自由天空
我用PETOOLS这个工具DUMP的。
|
能力值:
( LV9,RANK:170 )
|
-
-
9 楼
|
能力值:
( LV12,RANK:980 )
|
-
-
10 楼
还有更简单的办法就是用十六进制工具从偏移2E800处开始复制D000个字节下来,保存为.exe即可。
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
cater脱壳比较厉害
|
能力值:
( LV12,RANK:220 )
|
-
-
12 楼
运行~ 没脱壳的程序,修改那个关键 跳
让软件强制运行~
等 记事本程序出来之后,不要关闭他~
只接把 隐藏的那个文件 拷贝一分,修改后缀为 exe ko~
|