系统查看大师破解+WWPack32 1.x脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

系统查看大师破解+WWPack32 1.x脱壳

发表于: 2004-7-24 18:37 10661

系统查看大师破解+WWPack32 1.x脱壳

WXHing

2004-7-24 18:37

10661

软件名称：系统查看大师1.0.0

软件大小：595KB

保护方式：WWPack32 1.x加壳+异常处理+注册码

难度等级：容易

破解作者：WXHing[BCG][FCG]

破解工具：OllyDbg1.10，ImprotREC1.6，DeDe

破解声明：初学破解，旨在学习，别无它意，如有不妥，还请指正！

软件简介：一个简单易用，可以方便查看系统所有进程的小软件，他可以查看Ctrl+Alt+Del看不到的进程，这一特色恐怕是其他同类软件无

法比拟的（最有用的是他可以查看病毒程序的进程，构COOL吧）！

OD载入，停在入口点

0059D000 1> 53 push ebx

0059D001 55 push ebp

0059D002 8BE8 mov ebp,eax

0059D004 33DB xor ebx,ebx

0059D006 EB 60 jmp short 10925_xp.0059D068

0059D008 0D 0A0D0A57 or eax,570A0D0A

0059D00D 57 push edi

0059D00E 50 push eax

0059D00F 61 popad

.....................

.......................

0059D068 E8 00000000 call 10925_xp.0059D06D //F7跟进

0059D06D 58 pop eax

0059D06E 2D 6D000000 sub eax,6D

0059D073 50 push eax

0059D074 60 pushad

0059D075 33C9 xor ecx,ecx

0059D077 50 push eax

0059D078 58 pop eax

0059D079 50 push eax

..........................

.........................

0059D160 3C 04 cmp al,4

0059D162 74 27 je short 10925_xp.0059D18B //这里跳出循环

0059D164 04 07 add al,7

0059D166 3C 0D cmp al,0D

0059D168 72 28 jb short 10925_xp.0059D192

0059D16A 74 0D je short 10925_xp.0059D179

0059D16C B1 0F mov cl,0F

0059D16E E8 42FFFFFF call 10925_xp.0059D0B5

0059D173 66:05 E15F add ax,5FE1

0059D177 EB 2E jmp short 10925_xp.0059D1A7

0059D179 B1 0E mov cl,0E

0059D17B E8 35FFFFFF call 10925_xp.0059D0B5

0059D180 66:05 E11F add ax,1FE1

0059D184 EB 21 jmp short 10925_xp.0059D1A7

0059D186 E9 9E000000 jmp 10925_xp.0059D229

0059D18B E8 4DFFFFFF call 10925_xp.0059D0DD

....................................

0059D212 B1 0E mov cl,0E

0059D214 E8 9CFEFFFF call 10925_xp.0059D0B5

0059D219 66:5A pop dx

0059D21B 66:8BC8 mov cx,ax

0059D21E 87F2 xchg edx,esi

0059D220 F3:A4 rep movs byte ptr es:[edi],byte ptr >

0059D222 8BF2 mov esi,edx

0059D224 ^ E9 C3FEFFFF jmp 10925_xp.0059D0EC //大循环

0059D229 58 pop eax

0059D22A 83C0 04 add eax,4

0059D22D 2BC7 sub eax,edi

......................

0059D281 58 pop eax

0059D282 61 popad //平衡堆栈

0059D283 58 pop eax

0059D284 8BE8 mov ebp,eax

0059D286 2E:0385 95020000 add eax,dword ptr cs:[ebp+295]

0059D28D 05 99020000 add eax,299

0059D292 5D pop ebp

0059D293 5B pop ebx

0059D294 ^ E9 6F61F4FF jmp 10925_xp.004E3408 //跳到真正入口点处

0059D299 0000 add byte ptr ds:[eax],al

0059D29B 40 inc eax

0059D29C 0000 add byte ptr ds:[eax],al

...........................

004E3408 55 push ebp //OEP，插件脱壳

004E3409 8BEC mov ebp,esp

004E340B 83C4 F4 add esp,-0C

004E340E 53 push ebx

004E340F B8 702F4E00 mov eax,10925_xp.004E2F70

004E3414 E8 0B32F2FF call 10925_xp.00406624

用improtREC1.6修复输入表，全部指针有效，fix，运行正常，PEID查是Delphi程序，看DeDe的了，Unit Name:reg一定是他了，选TeThemeButton1Click 4D8BBC，bp 4D8BBC

004D8BBC 55 push ebp //断在这里

004D8BBD 8BEC mov ebp, esp

004D8BBF 33C9 xor ecx, ecx

004D8BC1 51 push ecx //这么多push ecx，不知是什么意思

004D8BC2 51 push ecx

004D8BC3 51 push ecx

004D8BC4 51 push ecx

004D8BC5 51 push ecx

004D8BC6 51 push ecx

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・1

免费・7

支持

最新回复 (15)
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼不错 BTW:这个WWPack壳使用ESP定律1分钟就走到OEP了 2004-7-24 20:08 0
WXHing 雪币： 263 活跃值： (340) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	WXHing 5 3 楼请教ESP定律，fly兄不要保留呀！:D :D 2004-7-24 20:50 0
china 雪币： 4175 活跃值： (4842) 能力值： (RANK：215 ) 在线值：发帖 73 回帖 1993 粉丝 9 关注私信	china 5 4 楼 F7过那个CALL后，Ctrl+F找POPAD，然后在上面F2断点，F9运行到此，F2取消断点，然后就到了。我修改注册如下： ============================================================ :004D8BED E8FAFDFFFF call 004D89EC :004D8BF2 84C0 test al, al //B001 mov al, 01 :004D8BF4 0F845E010000 je 004D8D58 //NOP :004D8BFA 8D55FC lea edx, dword ptr [ebp-04] :004D8BFD 8B83E8020000 mov eax, dword ptr [ebx+000002E8] :004D8C03 E8641AF5FF call 0042A66C :004D8C08 8B45FC mov eax, dword ptr [ebp-04] :004D8C0B E84CFEF2FF call 00408A5C :004D8C10 8BF0 mov esi, eax :004D8C12 81F6B2AA310A xor esi, 0A31AAB2 :004D8C18 81CE235B0CD1 or esi, D10C5B23 :004D8C1E 81F663551807 xor esi, 07185563 :004D8C24 8D55F0 lea edx, dword ptr [ebp-10] :004D8C27 8B83F0020000 mov eax, dword ptr [ebx+000002F0] :004D8C2D E83A1AF5FF call 0042A66C :004D8C32 8B45F0 mov eax, dword ptr [ebp-10] :004D8C35 50 push eax :004D8C36 8D55EC lea edx, dword ptr [ebp-14] :004D8C39 8BC6 mov eax, esi :004D8C3B E800FDF2FF call 00408940 :004D8C40 8B55EC mov edx, dword ptr [ebp-14] :004D8C43 58 pop eax :004D8C44 E8F7B2F2FF call 00403F40 :004D8C49 7439 je 004D8C84 //eb39 jmp 004D8C84 :004D8C4B 6A01 push 00000001 * Possible StringData Ref from Code Obj ->"注册失败" \| :004D8C4D B9A08D4D00 mov ecx, 004D8DA0 * Possible StringData Ref from Code Obj ->"注册失败，请核对注册码或联系作者" \| :004D8C52 BAAC8D4D00 mov edx, 004D8DAC :004D8C57 A1045E4E00 mov eax, dword ptr [004E5E04] :004D8C5C 8B00 mov eax, dword ptr [eax] :004D8C5E E84D01F7FF call 00448DB0 :004D8C63 48 dec eax :004D8C64 740C je 004D8C72 :004D8C66 8BC3 mov eax, ebx :004D8C68 E89FCBF6FF call 0044580C :004D8C6D E9E6000000 jmp 004D8D58 * Referenced by a (U)nconditional or (C)onditional Jump at Address: \|:004D8C64(C) \| :004D8C72 8B83F0020000 mov eax, dword ptr [ebx+000002F0] :004D8C78 33D2 xor edx, edx :004D8C7A E835C0FAFF call 00484CB4 :004D8C7F E9D4000000 jmp 004D8D58 * Referenced by a (U)nconditional or (C)onditional Jump at Address: \|:004D8C49(C) \| :004D8C84 6A00 push 00000000 * Possible StringData Ref from Code Obj ->"注册成功" \| :004D8C86 B9D08D4D00 mov ecx, 004D8DD0 * Possible StringData Ref from Code Obj ->"注册成功，欢迎使用系统查看大师" ==================================================================== 2004-7-24 20:55 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼最初由 WXHing 发布请教ESP定律，fly兄不要保留呀！:D :D 参看这个： http://bbs.pediy.com/showthread.php?s=&threadid=1008&highlight=ESP%B6%A8%C2%C9 2004-7-24 20:58 0
WXHing 雪币： 263 活跃值： (340) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	WXHing 5 6 楼 ABC老大果然高明，感激！ 2004-7-24 21:00 0
china 雪币： 4175 活跃值： (4842) 能力值： (RANK：215 ) 在线值：发帖 73 回帖 1993 粉丝 9 关注私信	china 5 7 楼最初由 WXHing 发布 ABC老大果然高明，感激！一直跟着fly领导的路上走呢，明天开学了，开始有空静心研究几ASP等壳，偶太笨，只能比着教程摸，感谢fly老兄才对呢。偶的偶像+老师，嘿嘿。 2004-7-24 21:06 0
WXHing 雪币： 263 活跃值： (340) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	WXHing 5 8 楼感谢Fly！ 2004-7-24 21:07 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼最初由 china 发布一直跟着fly领导的路上走呢，明天开学了，开始有空静心研究几ASP等壳，偶太笨，只能比着教程摸，感谢fly老兄才对呢。偶的偶像+老师，嘿嘿。晕倒 2004-7-24 21:08 0
WXHing 雪币： 263 活跃值： (340) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	WXHing 5 10 楼 ABC老大加我QQ吧，249403775 2004-7-24 21:16 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 11 楼问题是软件在哪里下载阿??? 2004-10-13 10:06 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 12 楼好晕我是XP SP2 脱壳后修复然后程序硬是不运行郁闷 2005-1-16 15:28 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 13 楼不过也算搞定了用LoadPE脱壳然后再用IREC修复居然就可以了谁可以解释一下不为什么直接从OD里面dump出来然后IREC修复却不可以运行呀 2005-1-16 15:31 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 14 楼哎不好意思被我取巧了直接用WinHex就OK了哈哈……………… 2005-1-16 15:41 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 15 楼这个软件是自己产生机器码不要用户名只要直接填入注册码就是了 2005-1-16 16:09 0
zcam 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zcam 16 楼学习中~~~~ 2005-1-16 16:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

WXHing

发帖

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼不错 BTW:这个WWPack壳使用ESP定律1分钟就走到OEP了 2004-7-24 20:08 0
WXHing 雪币： 263 活跃值： (340) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	WXHing 5 3 楼请教ESP定律，fly兄不要保留呀！:D :D 2004-7-24 20:50 0
china 雪币： 4175 活跃值： (4842) 能力值： (RANK：215 ) 在线值：发帖 73 回帖 1993 粉丝 9 关注私信	china 5 4 楼 F7过那个CALL后，Ctrl+F找POPAD，然后在上面F2断点，F9运行到此，F2取消断点，然后就到了。我修改注册如下： ============================================================ :004D8BED E8FAFDFFFF call 004D89EC :004D8BF2 84C0 test al, al //B001 mov al, 01 :004D8BF4 0F845E010000 je 004D8D58 //NOP :004D8BFA 8D55FC lea edx, dword ptr [ebp-04] :004D8BFD 8B83E8020000 mov eax, dword ptr [ebx+000002E8] :004D8C03 E8641AF5FF call 0042A66C :004D8C08 8B45FC mov eax, dword ptr [ebp-04] :004D8C0B E84CFEF2FF call 00408A5C :004D8C10 8BF0 mov esi, eax :004D8C12 81F6B2AA310A xor esi, 0A31AAB2 :004D8C18 81CE235B0CD1 or esi, D10C5B23 :004D8C1E 81F663551807 xor esi, 07185563 :004D8C24 8D55F0 lea edx, dword ptr [ebp-10] :004D8C27 8B83F0020000 mov eax, dword ptr [ebx+000002F0] :004D8C2D E83A1AF5FF call 0042A66C :004D8C32 8B45F0 mov eax, dword ptr [ebp-10] :004D8C35 50 push eax :004D8C36 8D55EC lea edx, dword ptr [ebp-14] :004D8C39 8BC6 mov eax, esi :004D8C3B E800FDF2FF call 00408940 :004D8C40 8B55EC mov edx, dword ptr [ebp-14] :004D8C43 58 pop eax :004D8C44 E8F7B2F2FF call 00403F40 :004D8C49 7439 je 004D8C84 //eb39 jmp 004D8C84 :004D8C4B 6A01 push 00000001 * Possible StringData Ref from Code Obj ->"注册失败" \| :004D8C4D B9A08D4D00 mov ecx, 004D8DA0 * Possible StringData Ref from Code Obj ->"注册失败，请核对注册码或联系作者" \| :004D8C52 BAAC8D4D00 mov edx, 004D8DAC :004D8C57 A1045E4E00 mov eax, dword ptr [004E5E04] :004D8C5C 8B00 mov eax, dword ptr [eax] :004D8C5E E84D01F7FF call 00448DB0 :004D8C63 48 dec eax :004D8C64 740C je 004D8C72 :004D8C66 8BC3 mov eax, ebx :004D8C68 E89FCBF6FF call 0044580C :004D8C6D E9E6000000 jmp 004D8D58 * Referenced by a (U)nconditional or (C)onditional Jump at Address: \|:004D8C64(C) \| :004D8C72 8B83F0020000 mov eax, dword ptr [ebx+000002F0] :004D8C78 33D2 xor edx, edx :004D8C7A E835C0FAFF call 00484CB4 :004D8C7F E9D4000000 jmp 004D8D58 * Referenced by a (U)nconditional or (C)onditional Jump at Address: \|:004D8C49(C) \| :004D8C84 6A00 push 00000000 * Possible StringData Ref from Code Obj ->"注册成功" \| :004D8C86 B9D08D4D00 mov ecx, 004D8DD0 * Possible StringData Ref from Code Obj ->"注册成功，欢迎使用系统查看大师" ==================================================================== 2004-7-24 20:55 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼最初由 WXHing 发布请教ESP定律，fly兄不要保留呀！:D :D 参看这个： http://bbs.pediy.com/showthread.php?s=&threadid=1008&highlight=ESP%B6%A8%C2%C9 2004-7-24 20:58 0
WXHing 雪币： 263 活跃值： (340) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	WXHing 5 6 楼 ABC老大果然高明，感激！ 2004-7-24 21:00 0
china 雪币： 4175 活跃值： (4842) 能力值： (RANK：215 ) 在线值：发帖 73 回帖 1993 粉丝 9 关注私信	china 5 7 楼最初由 WXHing 发布 ABC老大果然高明，感激！一直跟着fly领导的路上走呢，明天开学了，开始有空静心研究几ASP等壳，偶太笨，只能比着教程摸，感谢fly老兄才对呢。偶的偶像+老师，嘿嘿。 2004-7-24 21:06 0
WXHing 雪币： 263 活跃值： (340) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	WXHing 5 8 楼感谢Fly！ 2004-7-24 21:07 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼最初由 china 发布一直跟着fly领导的路上走呢，明天开学了，开始有空静心研究几ASP等壳，偶太笨，只能比着教程摸，感谢fly老兄才对呢。偶的偶像+老师，嘿嘿。晕倒 2004-7-24 21:08 0
WXHing 雪币： 263 活跃值： (340) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	WXHing 5 10 楼 ABC老大加我QQ吧，249403775 2004-7-24 21:16 0
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 11 楼问题是软件在哪里下载阿??? 2004-10-13 10:06 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 12 楼好晕我是XP SP2 脱壳后修复然后程序硬是不运行郁闷 2005-1-16 15:28 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 13 楼不过也算搞定了用LoadPE脱壳然后再用IREC修复居然就可以了谁可以解释一下不为什么直接从OD里面dump出来然后IREC修复却不可以运行呀 2005-1-16 15:31 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 14 楼哎不好意思被我取巧了直接用WinHex就OK了哈哈……………… 2005-1-16 15:41 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 15 楼这个软件是自己产生机器码不要用户名只要直接填入注册码就是了 2005-1-16 16:09 0
zcam 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zcam 16 楼学习中~~~~ 2005-1-16 16:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复