-
-
易语言之未知壳的脱壳和修复
-
发表于:
2006-5-8 21:59
6125
-
【文章标题】: 易语言之未知壳的脱壳和修复
【文章作者】: inr
【软件名称】: 排序门之3D白金版
【下载地址】: 自己搜索下载
【加壳方式】: 未知
【编写语言】: 易语言
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
咱是新手,写的不好不要见笑。
1、用peid 0.94查壳,提示什么都没有找到,有overlay。但看目录下还有几个文件夹,krnln.fnr,dp1.fne,估计是易语言写的了。
2、脱壳。
用OD载入,停止在4C61A1,一直按F8,有向后跳的就F4跳过,一直到4C6415,JMP 00403831,呵呵,这个就出口了,按下F8,跳到入OEP了。
3、DUMP下来。
这儿全是花指令,我们不管,用OD的插件就可以DUMP了。DUMP后用ImportREC修复IAT,地址就写上403831。
4、附加数据的修复。
我是菜鸟,就用看雪上的现成的工具了(overlay)。
5、运行,还出错,看来还有自校验。
用OD载入脱壳后的文件,在4801B5按载F2,运行后中断停止下来,这儿是 CMP DWORD PTR SS:[EBP-8],124F80
这个就是比较文件大小了。
6、修复校验。
用WinHex打开脱壳后的文件,搜索数值80 4F 12 00 ,一共是三处,全部改为现在的脱壳后文件的大小。
OK,运行,成功了。
--------------------------------------------------------------------------------
【经验总结】
文件能运行了,但用ECE却打不开,提示不是易语言文件,搞不懂。文件开始之处也不是典型的易语言入口,哪位知道说说
哈。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2006年05月08日 21:56:18
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
