【破文标题】字串替换器 1.05 双重壳脱壳分析
【破文作者】lchhome
【作者邮箱】lchhome@163.com
【作者主页】http://lchhome.ys168.com
【破解工具】OD、Imp、LordPE
【破解平台】WinXP
【软件名称】字串替换器 1.05
【软件大小】88.5KB
【原版下载】http://www.overnimble.com
【保护方式】tElock 0.98b1 -> tE!+PEBundle 2.0b5 - 3.0x -> Jeremy Collake双重壳
【软件简介】本软件是一个本地化工具，主要用于非资源格式的本地化工作，支持的种类包括非资源格式的 C 编译的程序中的 ASCII 字符串和 UniCode 字符串、非资源格式的 Delphi（C++ Builder）编译的程序的字符串、VB 编译的程序的字符串、文本格式的字符串等的提取及替换。同时它还拥有方便的版本升级功能、字典处理功能，使您在翻译新版本时事半功倍。本软件提供英文、简体中文和繁体中文三种语言选择，并且您也可以很方便的添加对其它语言的支持。
【破解声明】仅供学习
------------------------------------------------------------------------
一、用OD载入程序，除了忽略在KERNEL32 中的内存访问异常打勾，其余一个勾都不打
<ModuleEn>^\E9 25E4FFFF     JMP LocPlus.00450000          OD停在这里
00451BDB    0000            ADD BYTE PTR DS:[EAX],AL
00451BDD    00E9            ADD CL,CH

F9运行，出现异常，按Shift+F9继续，直到最后一次异常：
00451813  ^\73 DC           JNB SHORT LocPlus.004517F1    停在这里
00451815    CD 20           INT 20
00451817    64:67:8F06 0000 POP DWORD PTR FS:[0]
0045181D    58              POP EAX

看堆栈区：
0013FF58  /0013FFE0  指针到下一个 SEH 记录
0013FF5C  |004517F7  SE 句柄    这里表示Od的最后一个异常处理出口就是004517F7，会在004517F7处的代码处
继续正常运行。
0013FF60  |00000000
按Ctrl+G，填入004517F7，回车，F2下断点，Shift+F9中断在这里。
004517F7    8B6424 08       MOV ESP,DWORD PTR SS:[ESP+8]     中断后，取消断点，
004517FB    EB 1A           JMP SHORT LocPlus.00451817
004517FD    64:67:FF36 0000 PUSH DWORD PTR FS:[0]
00451803    64:67:8926 0000 MOV DWORD PTR FS:[0],ESP

一路按F8走，会到这里：
0044E000    9C              PUSHFD   这里用LordPE脱壳，然后用PEID查得它又加了PEBundle 2.0b5 - 3.0x壳
0044E001    60              PUSHAD
0044E002    E8 02000000     CALL LocPlus.0044E009
0044E007    33C0            XOR EAX,EAX
0044E009    8BC4            MOV EAX,ESP

在命令行下d 13ffc0(我这里ESP是0013ffc0),下硬件写入Word断点，运行！
0044E1AD    C3              RETN                               中断在这里     
0044E1AE    0000            ADD BYTE PTR DS:[EAX],AL
0044E1B0    40              INC EAX
0044E1B1    0000            ADD BYTE PTR DS:[EAX],AL

按Alt+M，在00401000段下内存断点，F9运行：
004027FC    68 FC594000     PUSH dumped.004059FC
00402801    E8 EEFFFFFF     CALL dumped.004027F4  ; JMP to MSVBVM50.ThunRTMain     停在这里
00402806    0000            ADD BYTE PTR DS:[EAX],AL
00402808    0000            ADD BYTE PTR DS:[EAX],AL
0040280A    0000            ADD BYTE PTR DS:[EAX],AL
0040280C    3000            XOR BYTE PTR DS:[EAX],AL

往上走到004027FC句，这才是真正的OEP，在此新建EIP，用LordPE脱壳。运行，OK！正常，不要修复！

------------------------------------------------------------------------

------------------------------------------------------------------------
【版权声明】属于lchhom所有，支持正版！

[课程]Linux pwn 探索篇！