破解前先用PEiD v0.94检查出动态链接库REDOA_GWManager.dll的加壳信息为NsPacK V3.7 -> LiuXingPing *
***************************************
【原创】星河手脱Nspack3.7!
*****************************************
【文章标题】: 星河手脱Nspack3.7!
【文章作者】: cnstars
【软件名称】: REDOA_GWManager.dll
【加壳方式】: Nspack3.7
【使用工具】: OllyICE v1.10 修改版
【操作平台】: XP
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
-------------------------------------
【详细过程】
先用Nspack3.7给REDOA_GWManager.dll加壳,保存为Nspack.REDOA_GWManager.dll。
用OllyICE载入REDOA_GWManager.dll,停在:
1123D199 > 9C pushfd
1123D19A 60 pushad
1123D19B E8 00000000 call 1123D1A0
1123D1A0 5D pop ebp
1123D1A1 83ED 07 sub ebp, 7
1123D1A4 8D8D E3FEFFFF lea ecx, dword ptr [ebp-11D]
1123D1AA 8039 01 cmp byte ptr [ecx], 1
1123D1AD 0F84 42020000 je 1123D3F5
F7几次跟入,到达1123D1AD时,这个跳转比较远,第一次跳转未实现,右键->跟随(Enter,定位到跳转的位置),来到
1123D3F5 B8 00000000 mov eax, 0
F4(运行到选定位置)执行到这里1123D3F5。再F7几次下去:
1123D3FA 83F8 00 cmp eax, 0
1123D3FD 74 0A je short 1123D409
1123D3FF 61 popad
1123D400 9D popfd
1123D401 B8 01000000 mov eax, 1
1123D406 C2 0C00 retn 0C
1123D409 61 popad
1123D40A 9D popfd
1123D40B - E9 9471DCFF jmp 110045A4
1123D40B大跳转出来了,F7一次
110045A4 5A db 5A ; CHAR 'Z'
110045A5 68 db 68 ; CHAR 'h'
110045A6 48 db 48 ; CHAR 'H'
110045A7 9E db 9E
在110045A4上面右键->dump,保存下来。
运行一下,全部正常。
[课程]FART 脱壳王!加量不加价!FART作者讲授!