我的一名菜鸟,很喜欢这方面的东西,目前还没有入门,主要先观看前辈们的教程,跟教程先实践,由于对工具使用不是很熟,在实践中碰到不少问题,需要各位前辈多多提点.
我在观看"床上的月亮"制作的"简单脱掉ASPack的壳"的碰到一个问题,内容如下(由于我是新注册用户,无法上传本视频教程):
破解对象:Neoragex V0.8(老牌的NEO.GEO模拟器的winxp修改版本)
破解工具:Ollydbg1.09b汉化版(包含各种插件),PEiD(测出什么壳的软件),Import REConstructor1.42+(修表用的)
开始:
首先用PEiD测出软件是用ASPack 2.12 -> Alexey Solodovnikov加的壳
接下来就开始脱壳
第一步:用Ollydbg装载要脱壳的软件,装载中会出现个对话框,装载中会出现两个对话框,第一个按‘确定’
第二个按‘否’(我是中文版的,如果英文版的第一个按‘OK’第二个按‘NO’)
第二步:按 Ctrl+B键 或者 右键→搜索→二进制字符 在HEX +03框中输入ASPack壳的各版本通用
特征代码 61 75 08 后按确定程序会停在入口附近。
注意下面一行跳转代码 JNZ SHORT 把光标移到这行代码上,然后设置断点,按F2或者
右键→断点→切换,此时会出来一个对话框选 ‘YES’。这样,断点就设置好了
第三步:按一下F9键运行程序,程序会被暂停住,然后按几次F8键单步跳过(我这里大概按了4次),就会来到入口点(一般入口点的代码特征是:55 PUSH EBP)
第四步:按菜单上面插件→OllyDump→转存调试进程 ,出来对话框按一下
‘获取EIP作为OEP’在按转存,(注意记住OEP的地址,下面还要用到的,本例入
口点的地址是8876C) 。保存文件名为DUMP.EXE。然后就OK了,关掉OllyDbg,
运行保存的文件看看会怎么样?
第五步:我们发现刚刚保存出来的文件不能运行,提示出现错误。
因为通常这个时候软件的IAT表还没有修复,所以就有可能会出错,下面我们就来修复IAT表,以保证程序的完美性。
先运行未脱壳的那个文件,然后再运行Import REConstructor,‘在选择一个使用中的程序’的下拉列表中选择
未脱壳文件的进程,这里是neogeoxp.exe。然后在左下角OEP文本框里填入刚刚记下来
的入口地址8876C后,先按‘IAT 自动搜索’按钮后出来一个对话框,意思是找到IAT表的地址,
点确定,然后在按‘获得输入信息’按钮后‘找到的输入函数’框中显示DLL文件修复的结果,
发现所有的DLL后面都出现‘是’后表示修复成功。成功后按‘修理抓取文件’
按钮选刚刚转寸出来的文件DUMP.EXE后就成功了,文件名为DUMP_.EXE就是修复以后的文件了
现在。脱壳成功!!!
再用PEiD测出软件是由Microsoft Visual C++ 6.0
顺利结束!!!看看脱壳前和脱壳后的文件的大小!!
脱壳前文件只有312K,脱壳后竟然有2.61M多,FT啊!!!
有两个问题请教:
第一个问题:第二步ASPack壳的各版本通用特征代码 61 75 08是怎么获得的?
第二个问题:在第四步中我点击菜单上面插件→但没有"OllyDump→转存调试进程",我使用的是Ollydbg1.09b汉化版,没有装插件,不知道怎么安装OLLYDUMP插件,谢谢!
[课程]FART 脱壳王!加量不加价!FART作者讲授!