[原创]几秒突破FSG 1.33 -> dulek/xt-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]几秒突破FSG 1.33 -> dulek/xt

发表于: 2006-4-30 17:53 6788

[原创]几秒突破FSG 1.33 -> dulek/xt

冷血书生

2006-4-30 17:53

6788

【破解日期】 2006年4月30日
【破解作者】冷血书生[OCN][DFCG]
【作者邮箱】 meiyou
【作者主页】 meiyou
【使用工具】 FlyOD、 LordPE、ImportREC
【破解平台】 Win9x/NT/2000/XP
【软件名称】记事本
【下载地址】本地下载
【软件大小】
【加壳方式】 FSG 1.33 -> dulek/xt
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------------------------
【破解内容】

00410305 >  BE A4014000    mov esi,NOTEPAD.004001A4                   ; 载入停在这里,往下拉
0041030A AD             lods dword ptr ds:[esi]
0041030B 93             xchg eax,ebx
0041030C AD             lods dword ptr ds:[esi]
0041030D 97             xchg eax,edi
0041030E AD             lods dword ptr ds:[esi]
0041030F 56             push esi
00410310 96             xchg eax,esi
00410311 B2 80          mov dl,80
00410313 A4             movs byte ptr es:[edi],byte ptr ds:[esi]
00410314 B6 80          mov dh,80
00410316 FF13          call dword ptr ds:[ebx]
00410318  ^ 73 F9          jnb short NOTEPAD.00410313
0041031A 33C9          xor ecx,ecx
0041031C FF13          call dword ptr ds:[ebx]
0041031E 73 16          jnb short NOTEPAD.00410336
00410320 33C0          xor eax,eax
00410322 FF13          call dword ptr ds:[ebx]
00410324 73 1F          jnb short NOTEPAD.00410345
00410326 B6 80          mov dh,80
00410328 41             inc ecx
00410329 B0 10          mov al,10
0041032B FF13          call dword ptr ds:[ebx]
0041032D 12C0          adc al,al
0041032F  ^ 73 FA          jnb short NOTEPAD.0041032B
00410331 75 3C          jnz short NOTEPAD.0041036F
00410333 AA             stos byte ptr es:[edi]
00410334  ^ EB E0          jmp short NOTEPAD.00410316
00410336 FF53 08       call dword ptr ds:[ebx+8]
00410339 02F6          add dh,dh
0041033B 83D9 01       sbb ecx,1
0041033E 75 0E          jnz short NOTEPAD.0041034E
00410340 FF53 04       call dword ptr ds:[ebx+4]
00410343 EB 26          jmp short NOTEPAD.0041036B
00410345 AC             lods byte ptr ds:[esi]
00410346 D1E8          shr eax,1
00410348 74 2F          je short NOTEPAD.00410379
0041034A 13C9          adc ecx,ecx
0041034C EB 1A          jmp short NOTEPAD.00410368
0041034E 91             xchg eax,ecx
0041034F 48             dec eax
00410350 C1E0 08       shl eax,8
00410353 AC             lods byte ptr ds:[esi]
00410354 FF53 04       call dword ptr ds:[ebx+4]
00410357 3D 007D0000    cmp eax,7D00
0041035C 73 0A          jnb short NOTEPAD.00410368
0041035E 80FC 05       cmp ah,5
00410361 73 06          jnb short NOTEPAD.00410369
00410363 83F8 7F       cmp eax,7F
00410366 77 02          ja short NOTEPAD.0041036A
00410368 41             inc ecx
00410369 41             inc ecx
0041036A 95             xchg eax,ebp
0041036B 8BC5          mov eax,ebp
0041036D B6 00          mov dh,0
0041036F 56             push esi
00410370 8BF7          mov esi,edi
00410372 2BF0          sub esi,eax
00410374 F3:A4          rep movs byte ptr es:[edi],byte ptr ds:[esi>
00410376 5E             pop esi
00410377  ^ EB 9D          jmp short NOTEPAD.00410316
00410379 8BD6          mov edx,esi
0041037B 5E             pop esi
0041037C AD             lods dword ptr ds:[esi]
0041037D 48             dec eax
0041037E 74 0A          je short NOTEPAD.0041038A
00410380 79 02          jns short NOTEPAD.00410384
00410382 AD             lods dword ptr ds:[esi]
00410383 50             push eax
00410384 56             push esi
00410385 8BF2          mov esi,edx
00410387 97             xchg eax,edi
00410388  ^ EB 87          jmp short NOTEPAD.00410311
0041038A AD             lods dword ptr ds:[esi]
0041038B 93             xchg eax,ebx
0041038C 5E             pop esi
0041038D 46             inc esi
0041038E AD             lods dword ptr ds:[esi]
0041038F 97             xchg eax,edi
00410390 56             push esi
00410391 FF13          call dword ptr ds:[ebx]
00410393 95             xchg eax,ebp
00410394 AC             lods byte ptr ds:[esi]
00410395 84C0          test al,al
00410397  ^ 75 FB          jnz short NOTEPAD.00410394
00410399 FE0E          dec byte ptr ds:[esi]
0041039B  ^ 74 F0          je short NOTEPAD.0041038D
0041039D 79 05          jns short NOTEPAD.004103A4
0041039F 46             inc esi
004103A0 AD             lods dword ptr ds:[esi]
004103A1 50             push eax
004103A2 EB 09          jmp short NOTEPAD.004103AD
004103A4 FE0E          dec byte ptr ds:[esi]
004103A6  - 0F84 200DFFFF je NOTEPAD.004010CC -----------------------> 004010CC 别告诉我你看不懂？

几秒而已~

HAVE FUN~~

--------------------------------------------------------------------------------
【破解总结】

没啥好总结,纯属娱乐~
--------------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

notepad.rar （15.84kb，29次下载）

收藏・0

免费・0

支持

最新回复 (14)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼 Load Ctrl+G eip+0A1 Enter F4 Dump Fix 2006-4-30 17:56 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 3 楼最初由 forgot* 发布* Load Ctrl+G eip+0A1 Enter F4 Dump ........ 往下拉，Ctrl+G eip+0A1 这步可省略了~ 2006-4-30 18:01 0
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 4 楼最初由 forgot* 发布* Load Ctrl+G eip+0A1 Enter F4 Dump ........ 高！！！实在是高！ 2006-4-30 18:02 0
ywb 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 187 粉丝 1 关注私信	ywb 5 楼最初由 forgot* 发布* Load Ctrl+G eip+0A1 Enter F4 Dump ........ 还是这方法正规，下拉随意性太大，属模糊判断 2006-4-30 21:18 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 6 楼最初由 forgot* 发布* Load Ctrl+G eip+0A1 Enter F4 Dump ........ 清晰 2006-4-30 22:04 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 7 楼最初由 ywb* 发布* 还是这方法正规，下拉随意性太大，属模糊判断 jmp dec je 这个是经典组合来的~~看到这三行，基本就可以确定了~ 2006-4-30 23:20 0
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 8 楼弱弱的问一下 eip+0A1 这个哪里来的 2006-5-1 00:33 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼 004103A6-00410305 2006-5-1 00:41 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 10 楼楼上的老大们，我看懂了一部分，还有些不懂啊我的理解是： 004103A6 - 0F84 200DFFFF je NOTEPAD.004010CC;是一个跨段的跳转，跳到入口了这样理解对吗？还有下面的方法，f4在od里面没有反应啊 Load Ctrl+G eip+0A1 Enter F4 Dump Fix 2006-8-7 19:39 0
jox 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	jox 11 楼上面的确实有点高! 2006-8-8 00:40 0
醉天使雪币： 214 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	醉天使 2 12 楼顺便把你的notepad下下来 2006-8-9 09:42 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 13 楼看得头晕晕的. 2006-8-9 12:37 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 14 楼微笑一刀大虾告诉我的SFX方法载入后直接停在OEP处;对FSG1.33,FSG2.0都有效. 2006-8-9 19:59 0
xiaohong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	xiaohong 15 楼 DUMP后，OD无法LOAD dump.exe，是什么原因？ 2006-8-10 17:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

冷血书生

发帖

1135

回帖

1140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼 Load Ctrl+G eip+0A1 Enter F4 Dump Fix 2006-4-30 17:56 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 3 楼最初由 forgot* 发布* Load Ctrl+G eip+0A1 Enter F4 Dump ........ 往下拉，Ctrl+G eip+0A1 这步可省略了~ 2006-4-30 18:01 0
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 4 楼最初由 forgot* 发布* Load Ctrl+G eip+0A1 Enter F4 Dump ........ 高！！！实在是高！ 2006-4-30 18:02 0
ywb 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 187 粉丝 1 关注私信	ywb 5 楼最初由 forgot* 发布* Load Ctrl+G eip+0A1 Enter F4 Dump ........ 还是这方法正规，下拉随意性太大，属模糊判断 2006-4-30 21:18 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 6 楼最初由 forgot* 发布* Load Ctrl+G eip+0A1 Enter F4 Dump ........ 清晰 2006-4-30 22:04 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 7 楼最初由 ywb* 发布* 还是这方法正规，下拉随意性太大，属模糊判断 jmp dec je 这个是经典组合来的~~看到这三行，基本就可以确定了~ 2006-4-30 23:20 0
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 8 楼弱弱的问一下 eip+0A1 这个哪里来的 2006-5-1 00:33 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼 004103A6-00410305 2006-5-1 00:41 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 10 楼楼上的老大们，我看懂了一部分，还有些不懂啊我的理解是： 004103A6 - 0F84 200DFFFF je NOTEPAD.004010CC;是一个跨段的跳转，跳到入口了这样理解对吗？还有下面的方法，f4在od里面没有反应啊 Load Ctrl+G eip+0A1 Enter F4 Dump Fix 2006-8-7 19:39 0
jox 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	jox 11 楼上面的确实有点高! 2006-8-8 00:40 0
醉天使雪币： 214 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	醉天使 2 12 楼顺便把你的notepad下下来 2006-8-9 09:42 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 13 楼看得头晕晕的. 2006-8-9 12:37 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 14 楼微笑一刀大虾告诉我的SFX方法载入后直接停在OEP处;对FSG1.33,FSG2.0都有效. 2006-8-9 19:59 0
xiaohong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	xiaohong 15 楼 DUMP后，OD无法LOAD dump.exe，是什么原因？ 2006-8-10 17:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复