hmimys'packer脱壳[原创]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

hmimys'packer脱壳[原创]

发表于: 2006-10-1 17:08 3216

hmimys'packer脱壳[原创]

fob

2006-10-1 17:08

3216

【破文标题】hmimys'packer脱壳

【破文作者】FoBnN

【作者邮箱】fobcrackgp[at]163.com

【作者主页】

【破解工具】OD+LOPE+xxxxxxxxxxxxx

【破解平台】XP+SP2

【软件名称】Fake Ninja 2.7 by Spirit

【软件大小】

【原版下载】

【保护方式】hmimys'packer

【软件简介】

【破解声明】只是学习目的.

---------------------------------------------------------------------- --

①

载入

bp VirtualFree F9 RUN

004A6404 > E8 BA000000 call Fake_Nin.004A64C3 〈EP 处

004A6409 0300 add eax,dword ptr ds:[eax]

004A640B 0000 add byte ptr ds:[eax],al

004A640D 0050 0A add byte ptr ds:[eax+A],dl

004A6410 0000 add byte ptr ds:[eax],al

004A6412 1040 00 adc byte ptr ds:[eax],al

②

7C809AE4 > 8BFF mov edi,edi ; Fake_Nin.004A6C1C ;中断后取消断点

7C809AE6 55 push ebp

7C809AE7 8BEC mov ebp,esp

7C809AE9 FF75 10 push dword ptr ss:[ebp+10]

7C809AEC FF75 0C push dword ptr ss:[ebp+C]

7C809AEF FF75 08 push dword ptr ss:[ebp+8]

7C809AF2 6A FF push -1

7C809AF4 E8 09000000 call kernel32.VirtualFreeEx

7C809AF9 5D pop ebp

7C809AFA C2 0C00 retn 0C

③

004A6D44 85F6 test esi,esi 返回到这里

004A6D46 74 05 je short Fake_Nin.004A6D4D

004A6D48 6A 01 push 1

004A6D4A 58 pop eax

004A6D4B EB 13 jmp short Fake_Nin.004A6D60

再返回

004A64DD AD lods dword ptr ds:[esi]

004A64DE 8BDE mov ebx,esi

004A64E0 8BF0 mov esi,eax

004A64E2 83C3 44 add ebx,44

004A64E5 AD lods dword ptr ds:[esi]

004A64E6 85C0 test eax,eax

004A64E8 74 32 je short Fake_Nin.004A651C

下面找到

004A6521 AD lods dword ptr ds:[esi]

004A6522 50 push eax

004A6523 C3 retn F2下断输入表处理完毕会到这里.

④

F9运行

断在 004A6523 C3 retn EAX=OEP

F7跟入

00472D0C 55 push ebp ；OEP了这里

00472D0D 8BEC mov ebp,esp

00472D0F 83C4 F0 add esp,-10

00472D12 B8 1C2B4700 mov eax,Fake_Nin.00472B1C

00472D17 E8 6C2FF9FF call Fake_Nin.00405C88

00472D1C A1 14BA4700 mov eax,dword ptr ds:[47BA14]

00472D21 8B00 mov eax,dword ptr ds:[eax]

00472D23 E8 C08EFEFF call Fake_Nin.0045BBE8

00472D28 8B0D 20B84700 mov ecx,dword ptr ds:[47B820] ; Fake_Nin.0047CBD8

00472D2E A1 14BA4700 mov eax,dword ptr ds:[47BA14]

⑤

有始有终

DUMP FIX

运行正常!

----------------------------------------------------------------------

菜鸟一只,干压缩壳.

----------------------------------------------------------------------

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持