首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[分享]挑战 themida 1.0.0.5 的壳「动画教程」
发表于: 2006-12-15 00:02 5818

[分享]挑战 themida 1.0.0.5 的壳「动画教程」

ssh 活跃值
2006-12-15 00:02
5818
【破解作者】 ssh
【使用工具】 OD,PEID,LordPE,ImprtREC F1.6
【破解平台】 Win9x/NT/2000/XP
【软件名称】 简单宝贝VIP版
【软件简介】 本脱文可以说是fly,windycandy[PYG]翻版,没有什么技术含量,献给与我一样
             的菜鸟分享,高手则略过.如果需要对其中的原理进一步了解,请参照fly大大的文章
             http://www.unpack.cn/viewthread.php?tid=2061&extra=page%3D19
【加壳方式】 themida 1.0.0.5 -> Oreans Technologies
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【脱壳过程】

设置OD忽略所有异常,载入加壳程序后,停在:

004B3014 >  B8 00000000     MOV EAX,0
004B3019    60              PUSHAD
004B301A    0BC0            OR EAX,EAX
004B301C    74 58           JE SHORT jdbb.004B3076
004B301E    E8 00000000     CALL jdbb.004B3023
004B3023    58              POP EAX
004B3024    05 43000000     ADD EAX,43
004B3029    8038 E9         CMP BYTE PTR DS:[EAX],0E9
004B302C    75 03           JNZ SHORT jdbb.004B3031
004B302E    61              POPAD
004B302F    EB 35           JMP SHORT jdbb.004B3066
004B3031    E8 00000000     CALL jdbb.004B3036

Alt+M 打开内存察看窗口,在代码段设置内存写入断点。连续Shift+F9三次后中断在

006C5CA8    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
006C5CAA    C685 3D263509 5>MOV BYTE PTR SS:[EBP+935263D],56
006C5CB1    68 396D1FD4     PUSH D41F6D39
006C5CB6    FFB5 D5193509   PUSH DWORD PTR SS:[EBP+93519D5]
006C5CBC    8D85 59F64109   LEA EAX,DWORD PTR SS:[EBP+941F659]
006C5CC2    FFD0            CALL EAX
006C5CC4    68 00800000     PUSH 8000
006C5CC9    6A 00           PUSH 0
006C5CCB    52              PUSH EDX
006C5CCC    FFD0            CALL EAX
006C5CCE    8BC0            MOV EAX,EAX

中断后先F7一次,再F8到006C5CAA,接着在shift+F9两次,中断在

006D2CD0    8908            MOV DWORD PTR DS:[EAX],ECX------------中断
006D2CD2    AD              LODS DWORD PTR DS:[ESI]
006D2CD3    C746 FC 0000000>MOV DWORD PTR DS:[ESI-4],0
006D2CDA    89B5 710A3509   MOV DWORD PTR SS:[EBP+9350A71],ESI
006D2CE0    83F8 FF         CMP EAX,-1
006D2CE3    0F85 20000000   JNZ jdbb.006D2D09
006D2CE9    813E DDDDDDDD   CMP DWORD PTR DS:[ESI],DDDDDDDD
006D2CEF    0F85 14000000   JNZ jdbb.006D2D09
006D2CF5    C706 00000000   MOV DWORD PTR DS:[ESI],0
006D2CFB    83C6 04         ADD ESI,4
006D2CFE    89B5 710A3509   MOV DWORD PTR SS:[EBP+9350A71],ESI
006D2D04  ^ E9 5CF7FFFF     JMP jdbb.006D2465
006D2D09    C1C0 03         ROL EAX,3

中断后,上下拉动鼠标,可以找到一段长长的代码: (对照fly大侠的注析来看这段代码)

006D238A    8B0B            MOV ECX,DWORD PTR DS:[EBX]
006D238C    83F9 00         CMP ECX,0
006D238F    0F84 690A0000   JE jdbb.006D2DFE-------------输入表处理完成后此处跳转
006D2395    50              PUSH EAX
006D2396    51              PUSH ECX
006D2397    60              PUSHAD
006D2398    33C0            XOR EAX,EAX
006D239A    8985 F1173509   MOV DWORD PTR SS:[EBP+93517F1],EAX
006D23A0    BE 3C000000     MOV ESI,3C
006D23A5    037424 20       ADD ESI,DWORD PTR SS:[ESP+20]
006D23A9    66:AD           LODS WORD PTR DS:[ESI]
006D23AB    034424 20       ADD EAX,DWORD PTR SS:[ESP+20]
006D23AF    8B70 78         MOV ESI,DWORD PTR DS:[EAX+78]
006D23B2    037424 20       ADD ESI,DWORD PTR SS:[ESP+20]
006D23B6    8B7E 18         MOV EDI,DWORD PTR DS:[ESI+18]
006D23B9    89BD F5203509   MOV DWORD PTR SS:[EBP+93520F5],EDI
006D23BF    85FF            TEST EDI,EDI
006D23C1    0F85 0A000000   JNZ jdbb.006D23D1
006D23C7    E8 3F100000     CALL jdbb.006D340B
006D23CC    E9 91000000     JMP jdbb.006D2462
006D23D1    51              PUSH ECX
006D23D2    8BD7            MOV EDX,EDI
006D23D4    6BD2 04         IMUL EDX,EDX,4
006D23D7    8995 E9103509   MOV DWORD PTR SS:[EBP+93510E9],EDX
006D23DD    6A 04           PUSH 4
006D23DF    68 00100000     PUSH 1000
006D23E4    52              PUSH EDX
006D23E5    6A 00           PUSH 0
006D23E7    FF95 21173509   CALL DWORD PTR SS:[EBP+9351721]
006D23ED    8985 49143509   MOV DWORD PTR SS:[EBP+9351449],EAX
006D23F3    8BD0            MOV EDX,EAX
006D23F5    59              POP ECX
006D23F6    E8 10100000     CALL jdbb.006D340B
006D23FB    56              PUSH ESI
006D23FC    AD              LODS DWORD PTR DS:[ESI]
006D23FD    034424 24       ADD EAX,DWORD PTR SS:[ESP+24]
006D2401    97              XCHG EAX,EDI
006D2402    8BDF            MOV EBX,EDI
006D2404    57              PUSH EDI
006D2405    32C0            XOR AL,AL
006D2407    AE              SCAS BYTE PTR ES:[EDI]
006D2408  ^ 0F85 F9FFFFFF   JNZ jdbb.006D2407
006D240E    5E              POP ESI
006D240F    2BFB            SUB EDI,EBX
006D2411    52              PUSH EDX
006D2412    8BD7            MOV EDX,EDI
006D2414    8BBD 511E3509   MOV EDI,DWORD PTR SS:[EBP+9351E51]
006D241A    83C9 FF         OR ECX,FFFFFFFF
006D241D    33C0            XOR EAX,EAX
006D241F    8A06            MOV AL,BYTE PTR DS:[ESI]
006D2421    32C1            XOR AL,CL
006D2423    46              INC ESI
006D2424    8B0487          MOV EAX,DWORD PTR DS:[EDI+EAX*4]
006D2427    C1E9 08         SHR ECX,8
006D242A    33C8            XOR ECX,EAX
006D242C    4A              DEC EDX
006D242D  ^ 0F85 EAFFFFFF   JNZ jdbb.006D241D
006D2433    8BC1            MOV EAX,ECX
006D2435    F7D0            NOT EAX
006D2437    5A              POP EDX
006D2438    8902            MOV DWORD PTR DS:[EDX],EAX
006D243A    83C2 04         ADD EDX,4
006D243D    52              PUSH EDX
006D243E    FF85 F1173509   INC DWORD PTR SS:[EBP+93517F1]
006D2444    8B95 F1173509   MOV EDX,DWORD PTR SS:[EBP+93517F1]
006D244A    3995 F5203509   CMP DWORD PTR SS:[EBP+93520F5],EDX
006D2450    0F84 0A000000   JE jdbb.006D2460
006D2456    5A              POP EDX
006D2457    5E              POP ESI
006D2458    83C6 04         ADD ESI,4
006D245B  ^ E9 9BFFFFFF     JMP jdbb.006D23FB
006D2460    5A              POP EDX
006D2461    5E              POP ESI
006D2462    61              POPAD
006D2463    59              POP ECX
006D2464    58              POP EAX
006D2465    C785 69113509 0>MOV DWORD PTR SS:[EBP+9351169],0
006D246F    C785 A1203509 0>MOV DWORD PTR SS:[EBP+93520A1],0
006D2479    83BD 10184609 0>CMP DWORD PTR SS:[EBP+9461810],0
006D2480    0F84 08000000   JE jdbb.006D248E
006D2486    8D9D B3FF4409   LEA EBX,DWORD PTR SS:[EBP+944FFB3]
006D248C    FFD3            CALL EBX
006D248E    FF85 911A3509   INC DWORD PTR SS:[EBP+9351A91]
006D2494    83BD 911A3509 6>CMP DWORD PTR SS:[EBP+9351A91],64
006D249B    0F82 62000000   JB jdbb.006D2503
006D24A1    C785 911A3509 0>MOV DWORD PTR SS:[EBP+9351A91],1
006D24AB    60              PUSHAD
006D24AC    8DB5 D4184609   LEA ESI,DWORD PTR SS:[EBP+94618D4]
006D24B2    8DBD EC334609   LEA EDI,DWORD PTR SS:[EBP+94633EC]
006D24B8    2BFE            SUB EDI,ESI
006D24BA    8BD7            MOV EDX,EDI
006D24BC    8BBD 511E3509   MOV EDI,DWORD PTR SS:[EBP+9351E51]
006D24C2    83C9 FF         OR ECX,FFFFFFFF
006D24C5    33C0            XOR EAX,EAX
006D24C7    8A06            MOV AL,BYTE PTR DS:[ESI]
006D24C9    32C1            XOR AL,CL
006D24CB    46              INC ESI
006D24CC    8B0487          MOV EAX,DWORD PTR DS:[EDI+EAX*4]
006D24CF    C1E9 08         SHR ECX,8
006D24D2    33C8            XOR ECX,EAX
006D24D4    4A              DEC EDX
006D24D5  ^ 0F85 EAFFFFFF   JNZ jdbb.006D24C5
006D24DB    8BC1            MOV EAX,ECX
006D24DD    F7D0            NOT EAX
006D24DF    3985 E1233509   CMP DWORD PTR SS:[EBP+93523E1],EAX
006D24E5    0F84 17000000   JE jdbb.006D2502
006D24EB    83BD 5D303509 0>CMP DWORD PTR SS:[EBP+935305D],0

006D24F2    0F85 0A000000   JNZ jdbb.006D2502 -------------------自校验  path ①改成:jmp 006D2502

006D24F8    C785 9D2B3509 0>MOV DWORD PTR SS:[EBP+9352B9D],1
006D2502    61              POPAD
006D2503    B9 B685363B     MOV ECX,3B3685B6
006D2508    BA C2599723     MOV EDX,239759C2
006D250D    AD              LODS DWORD PTR DS:[ESI]
006D250E    89B5 710A3509   MOV DWORD PTR SS:[EBP+9350A71],ESI
006D2514    C746 FC 0000000>MOV DWORD PTR DS:[ESI-4],0
006D251B    3D EEEEEEEE     CMP EAX,EEEEEEEE
006D2520    0F85 20000000   JNZ jdbb.006D2546
006D2526    813E DDDDDDDD   CMP DWORD PTR DS:[ESI],DDDDDDDD
006D252C    0F85 14000000   JNZ jdbb.006D2546
006D2532    C706 00000000   MOV DWORD PTR DS:[ESI],0
006D2538    83C6 04         ADD ESI,4
006D253B    89B5 710A3509   MOV DWORD PTR SS:[EBP+9350A71],ESI
006D2541    E9 83080000     JMP jdbb.006D2DC9
006D2546    8BD8            MOV EBX,EAX
006D2548    3385 9D2B3509   XOR EAX,DWORD PTR SS:[EBP+9352B9D]
006D254E    C1C8 03         ROR EAX,3
006D2551    2BC2            SUB EAX,EDX
006D2553    C1C0 10         ROL EAX,10
006D2556    33C1            XOR EAX,ECX
006D2558    899D 9D2B3509   MOV DWORD PTR SS:[EBP+9352B9D],EBX
006D255E    3D 00000100     CMP EAX,10000                            ; UNICODE "=::=::\"
006D2563    0F83 45000000   JNB jdbb.006D25AE
006D2569    813E BBBBBBBB   CMP DWORD PTR DS:[ESI],BBBBBBBB
006D256F    0F85 39000000   JNZ jdbb.006D25AE
006D2575    C706 00000000   MOV DWORD PTR DS:[ESI],0
006D257B    83C6 04         ADD ESI,4
006D257E    89B5 710A3509   MOV DWORD PTR SS:[EBP+9350A71],ESI
006D2584    8B9D 6D2F3509   MOV EBX,DWORD PTR SS:[EBP+9352F6D]
006D258A    8B0B            MOV ECX,DWORD PTR DS:[EBX]
006D258C    8BD0            MOV EDX,EAX
006D258E    60              PUSHAD
006D258F    8BC2            MOV EAX,EDX
006D2591    2B85 910B3509   SUB EAX,DWORD PTR SS:[EBP+9350B91]
006D2597    C1E0 02         SHL EAX,2
006D259A    0385 31253509   ADD EAX,DWORD PTR SS:[EBP+9352531]
006D25A0    96              XCHG EAX,ESI
006D25A1    AD              LODS DWORD PTR DS:[ESI]
006D25A2    03C1            ADD EAX,ECX
006D25A4    894424 1C       MOV DWORD PTR SS:[ESP+1C],EAX
006D25A8    61              POPAD
006D25A9    E9 7C000000     JMP jdbb.006D262A
006D25AE    51              PUSH ECX
006D25AF    52              PUSH EDX
006D25B0    33C9            XOR ECX,ECX
006D25B2    8B95 49143509   MOV EDX,DWORD PTR SS:[EBP+9351449]
006D25B8    3B02            CMP EAX,DWORD PTR DS:[EDX]
006D25BA    0F84 38000000   JE jdbb.006D25F8
006D25C0    83C2 04         ADD EDX,4
006D25C3    41              INC ECX
006D25C4    3B8D F5203509   CMP ECX,DWORD PTR SS:[EBP+93520F5]
006D25CA  ^ 0F85 E8FFFFFF   JNZ jdbb.006D25B8
006D25D0    8DB5 CD174609   LEA ESI,DWORD PTR SS:[EBP+94617CD]
006D25D6    8DBD 29283509   LEA EDI,DWORD PTR SS:[EBP+9352829]
006D25DC    AC              LODS BYTE PTR DS:[ESI]
006D25DD    84C0            TEST AL,AL
006D25DF    0F84 06000000   JE jdbb.006D25EB
006D25E5    AA              STOS BYTE PTR ES:[EDI]
006D25E6  ^ E9 F1FFFFFF     JMP jdbb.006D25DC
006D25EB    B8 07000000     MOV EAX,7
006D25F0    8D8D B84E3509   LEA ECX,DWORD PTR SS:[EBP+9354EB8]
006D25F6    FFE1            JMP ECX
006D25F8    898D F1173509   MOV DWORD PTR SS:[EBP+93517F1],ECX
006D25FE    5A              POP EDX
006D25FF    59              POP ECX
006D2600    56              PUSH ESI
006D2601    8B9D 6D2F3509   MOV EBX,DWORD PTR SS:[EBP+9352F6D]
006D2607    8B0B            MOV ECX,DWORD PTR DS:[EBX]
006D2609    8B85 F1173509   MOV EAX,DWORD PTR SS:[EBP+93517F1]
006D260F    D1E0            SHL EAX,1
006D2611    0385 8D213509   ADD EAX,DWORD PTR SS:[EBP+935218D]
006D2617    33F6            XOR ESI,ESI
006D2619    96              XCHG EAX,ESI
006D261A    66:AD           LODS WORD PTR DS:[ESI]
006D261C    C1E0 02         SHL EAX,2
006D261F    0385 31253509   ADD EAX,DWORD PTR SS:[EBP+9352531]
006D2625    96              XCHG EAX,ESI
006D2626    AD              LODS DWORD PTR DS:[ESI]
006D2627    03C1            ADD EAX,ECX
006D2629    5E              POP ESI
006D262A    83BD C9183509 0>CMP DWORD PTR SS:[EBP+93518C9],1

006D2631    0F84 39000000   JE jdbb.006D2670---------------判断是否是特殊DLL的特殊函数,是则加密。
                                                           path② 修改成 jmp 006D265B  避免加密  
006D2637    3B8D 21013509   CMP ECX,DWORD PTR SS:[EBP+9350121]
006D263D    0F84 2D000000   JE jdbb.006D2670
006D2643    3B8D 59163509   CMP ECX,DWORD PTR SS:[EBP+9351659]
006D2649    0F84 21000000   JE jdbb.006D2670
006D264F    3B8D C51D3509   CMP ECX,DWORD PTR SS:[EBP+9351DC5]
006D2655    0F84 15000000   JE jdbb.006D2670
006D265B    8D9D 1D2C4609   LEA EBX,DWORD PTR SS:[EBP+9462C1D]
006D2661    FFD3            CALL EBX
006D2663    8BF8            MOV EDI,EAX
006D2665    8985 F5093509   MOV DWORD PTR SS:[EBP+93509F5],EAX
006D266B    E9 3E060000     JMP jdbb.006D2CAE
006D2670    8D9D 1D2C4609   LEA EBX,DWORD PTR SS:[EBP+9462C1D]
006D2676    FFD3            CALL EBX
006D2678    83BD C9183509 0>CMP DWORD PTR SS:[EBP+93518C9],0
006D267F    0F84 1D000000   JE jdbb.006D26A2
006D2685    3B85 DD043509   CMP EAX,DWORD PTR SS:[EBP+93504DD]
006D268B    0F84 0C000000   JE jdbb.006D269D
006D2691    3B85 D9233509   CMP EAX,DWORD PTR SS:[EBP+93523D9]
006D2697    0F85 05000000   JNZ jdbb.006D26A2
006D269D  ^ E9 B9FFFFFF     JMP jdbb.006D265B
006D26A2    3B85 410B3509   CMP EAX,DWORD PTR SS:[EBP+9350B41]
006D26A8    0F85 18000000   JNZ jdbb.006D26C6
006D26AE    83BD F50E3509 0>CMP DWORD PTR SS:[EBP+9350EF5],0
006D26B5    0F85 0B000000   JNZ jdbb.006D26C6
006D26BB    8D85 005D4509   LEA EAX,DWORD PTR SS:[EBP+9455D00]
006D26C1  ^ E9 95FFFFFF     JMP jdbb.006D265B
006D26C6    3B85 410B3509   CMP EAX,DWORD PTR SS:[EBP+9350B41]
006D26CC  ^ 0F84 89FFFFFF   JE jdbb.006D265B
006D26D2    83BD C9174609 0>CMP DWORD PTR SS:[EBP+94617C9],1
006D26D9    0F85 17000000   JNZ jdbb.006D26F6
006D26DF    3B85 28184609   CMP EAX,DWORD PTR SS:[EBP+9461828]
006D26E5    0F85 0B000000   JNZ jdbb.006D26F6
006D26EB    8D85 6C0B5800   LEA EAX,DWORD PTR SS:[EBP+580B6C]
006D26F1  ^ E9 6DFFFFFF     JMP jdbb.006D2663
006D26F6    33FF            XOR EDI,EDI
006D26F8    83BD 451A3509 0>CMP DWORD PTR SS:[EBP+9351A45],0
006D26FF    0F84 E9020000   JE jdbb.006D29EE
006D2705    3B85 14184609   CMP EAX,DWORD PTR SS:[EBP+9461814]
006D270B    75 07           JNZ SHORT jdbb.006D2714
006D270D    8B85 AD253509   MOV EAX,DWORD PTR SS:[EBP+93525AD]
006D2713    47              INC EDI
006D2714    3B85 1C184609   CMP EAX,DWORD PTR SS:[EBP+946181C]
006D271A    75 07           JNZ SHORT jdbb.006D2723
006D271C    8B85 112C3509   MOV EAX,DWORD PTR SS:[EBP+9352C11]
006D2722    47              INC EDI
006D2723    3B85 18184609   CMP EAX,DWORD PTR SS:[EBP+9461818]
006D2729    75 07           JNZ SHORT jdbb.006D2732
006D272B    8B85 B5203509   MOV EAX,DWORD PTR SS:[EBP+93520B5]
006D2731    47              INC EDI
006D2732    3B85 20184609   CMP EAX,DWORD PTR SS:[EBP+9461820]
006D2738    75 07           JNZ SHORT jdbb.006D2741
006D273A    8B85 2D053509   MOV EAX,DWORD PTR SS:[EBP+935052D]
006D2740    47              INC EDI
006D2741    3B85 24184609   CMP EAX,DWORD PTR SS:[EBP+9461824]
006D2747    75 07           JNZ SHORT jdbb.006D2750
006D2749    8B85 FD0F3509   MOV EAX,DWORD PTR SS:[EBP+9350FFD]
006D274F    47              INC EDI
006D2750    3B85 28184609   CMP EAX,DWORD PTR SS:[EBP+9461828]
006D2756    75 07           JNZ SHORT jdbb.006D275F
006D2758    8B85 010A3509   MOV EAX,DWORD PTR SS:[EBP+9350A01]
006D275E    47              INC EDI
006D275F    3B85 2C184609   CMP EAX,DWORD PTR SS:[EBP+946182C]
006D2765    75 07           JNZ SHORT jdbb.006D276E
006D2767    8B85 75173509   MOV EAX,DWORD PTR SS:[EBP+9351775]
006D276D    47              INC EDI
006D276E    3B85 30184609   CMP EAX,DWORD PTR SS:[EBP+9461830]
006D2774    75 07           JNZ SHORT jdbb.006D277D
006D2776    8B85 F5243509   MOV EAX,DWORD PTR SS:[EBP+93524F5]
006D277C    47              INC EDI
006D277D    3B85 34184609   CMP EAX,DWORD PTR SS:[EBP+9461834]
006D2783    75 07           JNZ SHORT jdbb.006D278C
006D2785    8B85 D92A3509   MOV EAX,DWORD PTR SS:[EBP+9352AD9]
006D278B    47              INC EDI
006D278C    3B85 38184609   CMP EAX,DWORD PTR SS:[EBP+9461838]
006D2792    75 07           JNZ SHORT jdbb.006D279B
006D2794    8B85 31063509   MOV EAX,DWORD PTR SS:[EBP+9350631]
006D279A    47              INC EDI
006D279B    3B85 40184609   CMP EAX,DWORD PTR SS:[EBP+9461840]
006D27A1    75 07           JNZ SHORT jdbb.006D27AA
006D27A3    8B85 21003509   MOV EAX,DWORD PTR SS:[EBP+9350021]
006D27A9    47              INC EDI
006D27AA    3B85 3C184609   CMP EAX,DWORD PTR SS:[EBP+946183C]
006D27B0    75 07           JNZ SHORT jdbb.006D27B9
006D27B2    8B85 B12B3509   MOV EAX,DWORD PTR SS:[EBP+9352BB1]
006D27B8    47              INC EDI
006D27B9    83BD DD253509 0>CMP DWORD PTR SS:[EBP+93525DD],0
006D27C0    74 0F           JE SHORT jdbb.006D27D1
006D27C2    3B85 C8184609   CMP EAX,DWORD PTR SS:[EBP+94618C8]
006D27C8    75 07           JNZ SHORT jdbb.006D27D1
006D27CA    8B85 BD2D3509   MOV EAX,DWORD PTR SS:[EBP+9352DBD]
006D27D0    47              INC EDI
006D27D1    83BD C1253509 0>CMP DWORD PTR SS:[EBP+93525C1],0
006D27D8    74 72           JE SHORT jdbb.006D284C
006D27DA    83BD D5043509 0>CMP DWORD PTR SS:[EBP+93504D5],0
006D27E1    74 69           JE SHORT jdbb.006D284C
006D27E3    3B85 AC184609   CMP EAX,DWORD PTR SS:[EBP+94618AC]
006D27E9    75 07           JNZ SHORT jdbb.006D27F2
006D27EB    8B85 312B3509   MOV EAX,DWORD PTR SS:[EBP+9352B31]
006D27F1    47              INC EDI
006D27F2    3B85 BC184609   CMP EAX,DWORD PTR SS:[EBP+94618BC]
006D27F8    75 07           JNZ SHORT jdbb.006D2801
006D27FA    8B85 3D063509   MOV EAX,DWORD PTR SS:[EBP+935063D]
006D2800    47              INC EDI
006D2801    3B85 B0184609   CMP EAX,DWORD PTR SS:[EBP+94618B0]
006D2807    75 07           JNZ SHORT jdbb.006D2810
006D2809    8B85 610D3509   MOV EAX,DWORD PTR SS:[EBP+9350D61]
006D280F    47              INC EDI
006D2810    3B85 C0184609   CMP EAX,DWORD PTR SS:[EBP+94618C0]
006D2816    75 07           JNZ SHORT jdbb.006D281F
006D2818    8B85 95273509   MOV EAX,DWORD PTR SS:[EBP+9352795]
006D281E    47              INC EDI
006D281F    3B85 C4184609   CMP EAX,DWORD PTR SS:[EBP+94618C4]
006D2825    75 07           JNZ SHORT jdbb.006D282E
006D2827    8B85 15233509   MOV EAX,DWORD PTR SS:[EBP+9352315]
006D282D    47              INC EDI
006D282E    3B85 B4184609   CMP EAX,DWORD PTR SS:[EBP+94618B4]
006D2834    75 07           JNZ SHORT jdbb.006D283D
006D2836    8B85 A5263509   MOV EAX,DWORD PTR SS:[EBP+93526A5]
006D283C    47              INC EDI
006D283D    3B85 B8184609   CMP EAX,DWORD PTR SS:[EBP+94618B8]
006D2843    75 07           JNZ SHORT jdbb.006D284C
006D2845    8B85 F5303509   MOV EAX,DWORD PTR SS:[EBP+93530F5]
006D284B    47              INC EDI
006D284C    83BD D5043509 0>CMP DWORD PTR SS:[EBP+93504D5],0
006D2853    0F84 95010000   JE jdbb.006D29EE
006D2859    3B85 44184609   CMP EAX,DWORD PTR SS:[EBP+9461844]
006D285F    75 07           JNZ SHORT jdbb.006D2868
006D2861    8B85 352E3509   MOV EAX,DWORD PTR SS:[EBP+9352E35]
006D2867    47              INC EDI
006D2868    3B85 48184609   CMP EAX,DWORD PTR SS:[EBP+9461848]
006D286E    75 07           JNZ SHORT jdbb.006D2877
006D2870    8B85 3D003509   MOV EAX,DWORD PTR SS:[EBP+935003D]
006D2876    47              INC EDI
006D2877    3B85 4C184609   CMP EAX,DWORD PTR SS:[EBP+946184C]
006D287D    75 07           JNZ SHORT jdbb.006D2886
006D287F    8B85 B1173509   MOV EAX,DWORD PTR SS:[EBP+93517B1]
006D2885    47              INC EDI
006D2886    3B85 50184609   CMP EAX,DWORD PTR SS:[EBP+9461850]
006D288C    75 07           JNZ SHORT jdbb.006D2895
006D288E    8B85 ED273509   MOV EAX,DWORD PTR SS:[EBP+93527ED]
006D2894    47              INC EDI
006D2895    3B85 54184609   CMP EAX,DWORD PTR SS:[EBP+9461854]
006D289B    75 07           JNZ SHORT jdbb.006D28A4
006D289D    8B85 29173509   MOV EAX,DWORD PTR SS:[EBP+9351729]
006D28A3    47              INC EDI
006D28A4    3B85 58184609   CMP EAX,DWORD PTR SS:[EBP+9461858]
006D28AA    75 07           JNZ SHORT jdbb.006D28B3
006D28AC    8B85 511B3509   MOV EAX,DWORD PTR SS:[EBP+9351B51]
006D28B2    47              INC EDI
006D28B3    3B85 5C184609   CMP EAX,DWORD PTR SS:[EBP+946185C]
006D28B9    75 07           JNZ SHORT jdbb.006D28C2
006D28BB    8B85 BD163509   MOV EAX,DWORD PTR SS:[EBP+93516BD]
006D28C1    47              INC EDI
006D28C2    3B85 60184609   CMP EAX,DWORD PTR SS:[EBP+9461860]
006D28C8    75 07           JNZ SHORT jdbb.006D28D1
006D28CA    8B85 21183509   MOV EAX,DWORD PTR SS:[EBP+9351821]
006D28D0    47              INC EDI
006D28D1    3B85 64184609   CMP EAX,DWORD PTR SS:[EBP+9461864]
006D28D7    75 07           JNZ SHORT jdbb.006D28E0
006D28D9    8B85 C1193509   MOV EAX,DWORD PTR SS:[EBP+93519C1]
006D28DF    47              INC EDI
006D28E0    3B85 6C184609   CMP EAX,DWORD PTR SS:[EBP+946186C]
006D28E6    75 07           JNZ SHORT jdbb.006D28EF
006D28E8    8B85 21023509   MOV EAX,DWORD PTR SS:[EBP+9350221]
006D28EE    47              INC EDI
006D28EF    3B85 68184609   CMP EAX,DWORD PTR SS:[EBP+9461868]
006D28F5    75 07           JNZ SHORT jdbb.006D28FE
006D28F7    8B85 41213509   MOV EAX,DWORD PTR SS:[EBP+9352141]
006D28FD    47              INC EDI
006D28FE    3B85 70184609   CMP EAX,DWORD PTR SS:[EBP+9461870]
006D2904    75 07           JNZ SHORT jdbb.006D290D
006D2906    8B85 311A3509   MOV EAX,DWORD PTR SS:[EBP+9351A31]
006D290C    47              INC EDI
006D290D    3B85 74184609   CMP EAX,DWORD PTR SS:[EBP+9461874]
006D2913    75 07           JNZ SHORT jdbb.006D291C
006D2915    8B85 F12C3509   MOV EAX,DWORD PTR SS:[EBP+9352CF1]
006D291B    47              INC EDI
006D291C    3B85 78184609   CMP EAX,DWORD PTR SS:[EBP+9461878]
006D2922    75 07           JNZ SHORT jdbb.006D292B
006D2924    8B85 65273509   MOV EAX,DWORD PTR SS:[EBP+9352765]
006D292A    47              INC EDI
006D292B    3B85 7C184609   CMP EAX,DWORD PTR SS:[EBP+946187C]
006D2931    75 07           JNZ SHORT jdbb.006D293A
006D2933    8B85 45023509   MOV EAX,DWORD PTR SS:[EBP+9350245]
006D2939    47              INC EDI
006D293A    3B85 80184609   CMP EAX,DWORD PTR SS:[EBP+9461880]
006D2940    75 07           JNZ SHORT jdbb.006D2949
006D2942    8B85 E51A3509   MOV EAX,DWORD PTR SS:[EBP+9351AE5]
006D2948    47              INC EDI
006D2949    3B85 84184609   CMP EAX,DWORD PTR SS:[EBP+9461884]
006D294F    75 07           JNZ SHORT jdbb.006D2958
006D2951    8B85 ED263509   MOV EAX,DWORD PTR SS:[EBP+93526ED]
006D2957    47              INC EDI
006D2958    3B85 88184609   CMP EAX,DWORD PTR SS:[EBP+9461888]
006D295E    75 07           JNZ SHORT jdbb.006D2967
006D2960    8B85 61053509   MOV EAX,DWORD PTR SS:[EBP+9350561]
006D2966    47              INC EDI
006D2967    3B85 8C184609   CMP EAX,DWORD PTR SS:[EBP+946188C]
006D296D    75 07           JNZ SHORT jdbb.006D2976
006D296F    8B85 A5273509   MOV EAX,DWORD PTR SS:[EBP+93527A5]
006D2975    47              INC EDI
006D2976    3B85 79213509   CMP EAX,DWORD PTR SS:[EBP+9352179]
006D297C    75 07           JNZ SHORT jdbb.006D2985
006D297E    8B85 05143509   MOV EAX,DWORD PTR SS:[EBP+9351405]
006D2984    47              INC EDI
006D2985    3B85 90184609   CMP EAX,DWORD PTR SS:[EBP+9461890]
006D298B    75 07           JNZ SHORT jdbb.006D2994
006D298D    8B85 99173509   MOV EAX,DWORD PTR SS:[EBP+9351799]
006D2993    47              INC EDI
006D2994    3B85 94184609   CMP EAX,DWORD PTR SS:[EBP+9461894]
006D299A    75 07           JNZ SHORT jdbb.006D29A3
006D299C    8B85 392C3509   MOV EAX,DWORD PTR SS:[EBP+9352C39]
006D29A2    47              INC EDI
006D29A3    3B85 98184609   CMP EAX,DWORD PTR SS:[EBP+9461898]
006D29A9    75 07           JNZ SHORT jdbb.006D29B2
006D29AB    8B85 012C3509   MOV EAX,DWORD PTR SS:[EBP+9352C01]
006D29B1    47              INC EDI
006D29B2    3B85 9C184609   CMP EAX,DWORD PTR SS:[EBP+946189C]
006D29B8    75 07           JNZ SHORT jdbb.006D29C1
006D29BA    8B85 89113509   MOV EAX,DWORD PTR SS:[EBP+9351189]
006D29C0    47              INC EDI
006D29C1    3B85 A0184609   CMP EAX,DWORD PTR SS:[EBP+94618A0]
006D29C7    75 07           JNZ SHORT jdbb.006D29D0
006D29C9    8B85 15253509   MOV EAX,DWORD PTR SS:[EBP+9352515]
006D29CF    47              INC EDI
006D29D0    3B85 A4184609   CMP EAX,DWORD PTR SS:[EBP+94618A4]
006D29D6    75 07           JNZ SHORT jdbb.006D29DF
006D29D8    8B85 41303509   MOV EAX,DWORD PTR SS:[EBP+9353041]
006D29DE    47              INC EDI
006D29DF    3B85 A8184609   CMP EAX,DWORD PTR SS:[EBP+94618A8]
006D29E5    75 07           JNZ SHORT jdbb.006D29EE
006D29E7    8B85 352E3509   MOV EAX,DWORD PTR SS:[EBP+9352E35]
006D29ED    47              INC EDI
006D29EE    0BFF            OR EDI,EDI
006D29F0    0F84 05000000   JE jdbb.006D29FB
006D29F6  ^ E9 68FCFFFF     JMP jdbb.006D2663
006D29FB    3B85 F5263509   CMP EAX,DWORD PTR SS:[EBP+93526F5]
006D2A01    0F85 0B000000   JNZ jdbb.006D2A12
006D2A07    8D85 953B4509   LEA EAX,DWORD PTR SS:[EBP+9453B95]
006D2A0D  ^ E9 51FCFFFF     JMP jdbb.006D2663
006D2A12    3B85 291B3509   CMP EAX,DWORD PTR SS:[EBP+9351B29]
006D2A18    0F85 18000000   JNZ jdbb.006D2A36
006D2A1E    83BD C9174609 0>CMP DWORD PTR SS:[EBP+94617C9],1
006D2A25    0F85 0B000000   JNZ jdbb.006D2A36
006D2A2B    8D85 EF0A5800   LEA EAX,DWORD PTR SS:[EBP+580AEF]
006D2A31  ^ E9 2DFCFFFF     JMP jdbb.006D2663
006D2A36    3B85 04184609   CMP EAX,DWORD PTR SS:[EBP+9461804]
006D2A3C    0F84 0C000000   JE jdbb.006D2A4E
006D2A42    3B85 08184609   CMP EAX,DWORD PTR SS:[EBP+9461808]
006D2A48    0F85 05000000   JNZ jdbb.006D2A53
006D2A4E  ^ E9 10FCFFFF     JMP jdbb.006D2663
006D2A53    BE 00000000     MOV ESI,0
006D2A58    83FE 01         CMP ESI,1
006D2A5B    0F85 45000000   JNZ jdbb.006D2AA6
006D2A61    3B85 F8174609   CMP EAX,DWORD PTR SS:[EBP+94617F8]
006D2A67    0F85 0B000000   JNZ jdbb.006D2A78
006D2A6D    8D85 28985700   LEA EAX,DWORD PTR SS:[EBP+579828]
006D2A73  ^ E9 EBFBFFFF     JMP jdbb.006D2663
006D2A78    3B85 FC174609   CMP EAX,DWORD PTR SS:[EBP+94617FC]
006D2A7E    0F85 0B000000   JNZ jdbb.006D2A8F
006D2A84    8D85 9E985700   LEA EAX,DWORD PTR SS:[EBP+57989E]
006D2A8A  ^ E9 D4FBFFFF     JMP jdbb.006D2663
006D2A8F    3B85 00184609   CMP EAX,DWORD PTR SS:[EBP+9461800]
006D2A95    0F85 0B000000   JNZ jdbb.006D2AA6
006D2A9B    8D85 E3985700   LEA EAX,DWORD PTR SS:[EBP+5798E3]
006D2AA1  ^ E9 BDFBFFFF     JMP jdbb.006D2663
006D2AA6    8BC0            MOV EAX,EAX
006D2AA8    BE 01000000     MOV ESI,1
006D2AAD    0BF6            OR ESI,ESI
006D2AAF    0F85 05000000   JNZ jdbb.006D2ABA
006D2AB5  ^ E9 A1FBFFFF     JMP jdbb.006D265B
006D2ABA    8BF0            MOV ESI,EAX
006D2ABC    89B5 C12A3509   MOV DWORD PTR SS:[EBP+9352AC1],ESI
006D2AC2    89B5 F51D3509   MOV DWORD PTR SS:[EBP+9351DF5],ESI
006D2AC8    803E E9         CMP BYTE PTR DS:[ESI],0E9
006D2ACB    0F85 26000000   JNZ jdbb.006D2AF7
006D2AD1    8B7E 01         MOV EDI,DWORD PTR DS:[ESI+1]
006D2AD4    03FE            ADD EDI,ESI
006D2AD6    8BDE            MOV EBX,ESI
006D2AD8    81C3 00400000   ADD EBX,4000
006D2ADE    3BBD C12A3509   CMP EDI,DWORD PTR SS:[EBP+9352AC1]
006D2AE4    0F82 08000000   JB jdbb.006D2AF2
006D2AEA    3BFB            CMP EDI,EBX
006D2AEC    0F86 05000000   JBE jdbb.006D2AF7
006D2AF2  ^ E9 64FBFFFF     JMP jdbb.006D265B
006D2AF7    8BBD 510A3509   MOV EDI,DWORD PTR SS:[EBP+9350A51]
006D2AFD    C785 552E3509 0>MOV DWORD PTR SS:[EBP+9352E55],0
006D2B07    60              PUSHAD
006D2B08    89B5 F51D3509   MOV DWORD PTR SS:[EBP+9351DF5],ESI
006D2B0E    8D9D A5314609   LEA EBX,DWORD PTR SS:[EBP+94631A5]
006D2B14    FFD3            CALL EBX
006D2B16    0F82 22000000   JB jdbb.006D2B3E
006D2B1C    8D9D BC2B4409   LEA EBX,DWORD PTR SS:[EBP+9442BBC]
006D2B22    FFD3            CALL EBX
006D2B24  ^ 0F83 DEFFFFFF   JNB jdbb.006D2B08
006D2B2A    8BB5 F51D3509   MOV ESI,DWORD PTR SS:[EBP+9351DF5]
006D2B30    89B5 552E3509   MOV DWORD PTR SS:[EBP+9352E55],ESI
006D2B36    8D9D 04004509   LEA EBX,DWORD PTR SS:[EBP+9450004]
006D2B3C    FFD3            CALL EBX
006D2B3E    8B85 C12A3509   MOV EAX,DWORD PTR SS:[EBP+9352AC1]
006D2B44    8985 F51D3509   MOV DWORD PTR SS:[EBP+9351DF5],EAX
006D2B4A    61              POPAD
006D2B4B    8D9D D22D4609   LEA EBX,DWORD PTR SS:[EBP+9462DD2]
006D2B51    FFD3            CALL EBX
006D2B53    8D9D 552E4609   LEA EBX,DWORD PTR SS:[EBP+9462E55]
006D2B59    FFD3            CALL EBX
006D2B5B    8D9D F6304609   LEA EBX,DWORD PTR SS:[EBP+94630F6]
006D2B61    FFD3            CALL EBX
006D2B63    0F83 0C000000   JNB jdbb.006D2B75
006D2B69    8385 F51D3509 0>ADD DWORD PTR SS:[EBP+9351DF5],5
006D2B70  ^ E9 D6FFFFFF     JMP jdbb.006D2B4B
006D2B75    8D9D 1F314609   LEA EBX,DWORD PTR SS:[EBP+946311F]
006D2B7B    FFD3            CALL EBX
006D2B7D    0F83 08000000   JNB jdbb.006D2B8B
006D2B83    83C2 04         ADD EDX,4
006D2B86    E9 32000000     JMP jdbb.006D2BBD
006D2B8B    8D9D BC2B4409   LEA EBX,DWORD PTR SS:[EBP+9442BBC]
006D2B91    FFD3            CALL EBX
006D2B93    0F83 0B000000   JNB jdbb.006D2BA4
006D2B99    8BB5 F51D3509   MOV ESI,DWORD PTR SS:[EBP+9351DF5]
006D2B9F    E9 27070000     JMP jdbb.006D32CB
006D2BA4    8B8D F51D3509   MOV ECX,DWORD PTR SS:[EBP+9351DF5]
006D2BAA    89B5 F51D3509   MOV DWORD PTR SS:[EBP+9351DF5],ESI
006D2BB0    2BCE            SUB ECX,ESI
006D2BB2    F7D9            NEG ECX
006D2BB4    2BF1            SUB ESI,ECX
006D2BB6    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
006D2BB8  ^ E9 8EFFFFFF     JMP jdbb.006D2B4B
006D2BBD    8D9D B3FF4409   LEA EBX,DWORD PTR SS:[EBP+944FFB3]
006D2BC3    FFD3            CALL EBX
006D2BC5    8BC7            MOV EAX,EDI
006D2BC7    2B85 510A3509   SUB EAX,DWORD PTR SS:[EBP+9350A51]
006D2BCD    8985 75303509   MOV DWORD PTR SS:[EBP+9353075],EAX
006D2BD3    8B85 510A3509   MOV EAX,DWORD PTR SS:[EBP+9350A51]
006D2BD9    57              PUSH EDI
006D2BDA    50              PUSH EAX
006D2BDB    8D8D BE004509   LEA ECX,DWORD PTR SS:[EBP+94500BE]
006D2BE1    FFD1            CALL ECX
006D2BE3    8B85 59003509   MOV EAX,DWORD PTR SS:[EBP+9350059]
006D2BE9    50              PUSH EAX
006D2BEA    57              PUSH EDI
006D2BEB    8B85 510A3509   MOV EAX,DWORD PTR SS:[EBP+9350A51]
006D2BF1    50              PUSH EAX
006D2BF2    8D8D E5024509   LEA ECX,DWORD PTR SS:[EBP+94502E5]
006D2BF8    FFD1            CALL ECX
006D2BFA    8BD0            MOV EDX,EAX
006D2BFC    8BC8            MOV ECX,EAX
006D2BFE    2B8D 59003509   SUB ECX,DWORD PTR SS:[EBP+9350059]
006D2C04    83BD 011B3509 0>CMP DWORD PTR SS:[EBP+9351B01],0
006D2C0B    0F84 2B000000   JE jdbb.006D2C3C
006D2C11    8B85 491B3509   MOV EAX,DWORD PTR SS:[EBP+9351B49]
006D2C17    2B85 011B3509   SUB EAX,DWORD PTR SS:[EBP+9351B01]
006D2C1D    3BC1            CMP EAX,ECX
006D2C1F    0F86 17000000   JBE jdbb.006D2C3C
006D2C25    8B85 B92A3509   MOV EAX,DWORD PTR SS:[EBP+9352AB9]
006D2C2B    0385 011B3509   ADD EAX,DWORD PTR SS:[EBP+9351B01]
006D2C31    8985 F5093509   MOV DWORD PTR SS:[EBP+93509F5],EAX
006D2C37    E9 43000000     JMP jdbb.006D2C7F
006D2C3C    51              PUSH ECX
006D2C3D    8BC1            MOV EAX,ECX
006D2C3F    48              DEC EAX
006D2C40    0D FF0F0000     OR EAX,0FFF
006D2C45    40              INC EAX
006D2C46    8985 491B3509   MOV DWORD PTR SS:[EBP+9351B49],EAX
006D2C4C    0185 95183509   ADD DWORD PTR SS:[EBP+9351895],EAX
006D2C52    C785 011B3509 0>MOV DWORD PTR SS:[EBP+9351B01],0
006D2C5C    6A 40           PUSH 40
006D2C5E    68 00100000     PUSH 1000
006D2C63    51              PUSH ECX
006D2C64    6A 00           PUSH 0
006D2C66    FF95 21173509   CALL DWORD PTR SS:[EBP+9351721]
006D2C6C    FF95 611E3509   CALL DWORD PTR SS:[EBP+9351E61]
006D2C72    8985 B92A3509   MOV DWORD PTR SS:[EBP+9352AB9],EAX
006D2C78    8985 F5093509   MOV DWORD PTR SS:[EBP+93509F5],EAX
006D2C7E    59              POP ECX
006D2C7F    FFB5 F5093509   PUSH DWORD PTR SS:[EBP+93509F5]
006D2C85    FFB5 59003509   PUSH DWORD PTR SS:[EBP+9350059]
006D2C8B    57              PUSH EDI
006D2C8C    FFB5 510A3509   PUSH DWORD PTR SS:[EBP+9350A51]
006D2C92    8D85 79054509   LEA EAX,DWORD PTR SS:[EBP+9450579]
006D2C98    FFD0            CALL EAX
006D2C9A    018D 011B3509   ADD DWORD PTR SS:[EBP+9351B01],ECX
006D2CA0    8BBD F5093509   MOV EDI,DWORD PTR SS:[EBP+93509F5]
006D2CA6    8BB5 59003509   MOV ESI,DWORD PTR SS:[EBP+9350059]
006D2CAC    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
006D2CAE    8BB5 710A3509   MOV ESI,DWORD PTR SS:[EBP+9350A71]
006D2CB4    AD              LODS DWORD PTR DS:[ESI]
006D2CB5    C746 FC 0000000>MOV DWORD PTR DS:[ESI-4],0
006D2CBC    C1C0 05         ROL EAX,5
006D2CBF    05 B685363B     ADD EAX,3B3685B6
006D2CC4    0385 09213509   ADD EAX,DWORD PTR SS:[EBP+9352109]
006D2CCA    8B8D F5093509   MOV ECX,DWORD PTR SS:[EBP+93509F5]

006D2CD0    8908            MOV DWORD PTR DS:[EAX],ECX--------------上面Shift+F9后中断在这里
将上面的path①和path②修改后,用HideOD申请一段内存地址, 我这里申请到的是04FF0000
将006D2CD0改成  jmp 04FF0000  --------------Patch③

006D2CD2    AD              LODS DWORD PTR DS:[ESI]
006D2CD3    C746 FC 0000000>MOV DWORD PTR DS:[ESI-4],0
006D2CDA    89B5 710A3509   MOV DWORD PTR SS:[EBP+9350A71],ESI-------注意这行地址A
006D2CE0    83F8 FF         CMP EAX,-1
006D2CE3    0F85 20000000   JNZ jdbb.006D2D09
006D2CE9    813E DDDDDDDD   CMP DWORD PTR DS:[ESI],DDDDDDDD
006D2CEF    0F85 14000000   JNZ jdbb.006D2D09
006D2CF5    C706 00000000   MOV DWORD PTR DS:[ESI],0
006D2CFB    83C6 04         ADD ESI,4
006D2CFE    89B5 710A3509   MOV DWORD PTR SS:[EBP+9350A71],ESI
006D2D04  ^ E9 5CF7FFFF     JMP jdbb.006D2465
006D2D09    C1C0 03         ROL EAX,3
006D2D0C    0385 09213509   ADD EAX,DWORD PTR SS:[EBP+9352109]
006D2D12    83BD 21253509 0>CMP DWORD PTR SS:[EBP+9352521],1
006D2D19    0F84 9D000000   JE jdbb.006D2DBC
006D2D1F    813E AAAAAAAA   CMP DWORD PTR DS:[ESI],AAAAAAAA
006D2D25    0F85 12000000   JNZ jdbb.006D2D3D
006D2D2B    83C6 04         ADD ESI,4
006D2D2E    C746 FC 0000000>MOV DWORD PTR DS:[ESI-4],0
006D2D35    97              XCHG EAX,EDI
006D2D36    B0 E9           MOV AL,0E9
006D2D38    E9 03000000     JMP jdbb.006D2D40
006D2D3D    97              XCHG EAX,EDI
006D2D3E    B0 E8           MOV AL,0E8
006D2D40    50              PUSH EAX
006D2D41    83BD C9183509 0>CMP DWORD PTR SS:[EBP+93518C9],1
006D2D48    0F84 3E000000   JE jdbb.006D2D8C
006D2D4E    B8 00010000     MOV EAX,100
006D2D53    83BD 10184609 0>CMP DWORD PTR SS:[EBP+9461810],0
006D2D5A    0F84 08000000   JE jdbb.006D2D68
006D2D60    8D9D D2084509   LEA EBX,DWORD PTR SS:[EBP+94508D2]
006D2D66    FFD3            CALL EBX
006D2D68    803F 90         CMP BYTE PTR DS:[EDI],90
006D2D6B    0F84 08000000   JE jdbb.006D2D79
006D2D71    83C7 05         ADD EDI,5
006D2D74    E9 43000000     JMP jdbb.006D2DBC
006D2D79    83F8 50         CMP EAX,50
006D2D7C    0F82 0A000000   JB jdbb.006D2D8C
006D2D82    B0 90           MOV AL,90
006D2D84    AA              STOS BYTE PTR ES:[EDI]
006D2D85    58              POP EAX
006D2D86    AA              STOS BYTE PTR ES:[EDI]

006D2D87    E9 24000000     JMP jdbb.006D2DB0-----------Patch④  jmp 04FF0014

006D2D8C    58              POP EAX
006D2D8D    AA              STOS BYTE PTR ES:[EDI]
006D2D8E    807F FF E9      CMP BYTE PTR DS:[EDI-1],0E9

006D2D92    0F85 18000000   JNZ jdbb.006D2DB0------------Patch⑤  jmp 04FF0036

006D2D98    83BD 10184609 0>CMP DWORD PTR SS:[EBP+9461810],0--------注意这行地址C
006D2D9F    0F84 08000000   JE jdbb.006D2DAD
006D2DA5    8D9D A2084509   LEA EBX,DWORD PTR SS:[EBP+94508A2]
006D2DAB    FFD3            CALL EBX

006D2DAD    8847 04         MOV BYTE PTR DS:[EDI+4],AL------------Patch⑥ NOP    去掉加密

006D2DB0    8B85 F5093509   MOV EAX,DWORD PTR SS:[EBP+93509F5]---------注意这行的地址B

006D2DB6    2BC7            SUB EAX,EDI
006D2DB8    83E8 04         SUB EAX,4
006D2DBB    AB              STOS DWORD PTR ES:[EDI]------Patch⑦  NOP   去掉加密

006D2DBC    AD              LODS DWORD PTR DS:[ESI]
006D2DBD    C746 FC 0000000>MOV DWORD PTR DS:[ESI-4],0

006D2DC4  ^ E9 11FFFFFF     JMP jdbb.006D2CDA-----循环处理每个DLL的函数
                                                  Patch⑧改为 jmp 04FF005F

006D2DC9    89B5 710A3509   MOV DWORD PTR SS:[EBP+9350A71],ESI
006D2DCF    52              PUSH EDX
006D2DD0    68 00800000     PUSH 8000
006D2DD5    6A 00           PUSH 0
006D2DD7    FFB5 49143509   PUSH DWORD PTR SS:[EBP+9351449]
006D2DDD    FF95 F10A3509   CALL DWORD PTR SS:[EBP+9350AF1]
006D2DE3    5A              POP EDX
006D2DE4    8B8D 6D2F3509   MOV ECX,DWORD PTR SS:[EBP+9352F6D]
006D2DEA    C701 00000000   MOV DWORD PTR DS:[ECX],0
006D2DF0    83C1 04         ADD ECX,4
006D2DF3    898D 6D2F3509   MOV DWORD PTR SS:[EBP+9352F6D],ECX
006D2DF9  ^ E9 86F5FFFF     JMP jdbb.006D2384
006D2DFE    E9 4B060000     JMP jdbb.006D344E----这里F2下断,输入表处理完成后中断在这里

在006D2DFE 处F2下断后,CTRL+G:04FF0000到04FF0000写入path代码:  (FLY大侠的代码)

02CF0000     A3 0004CF02             mov dword ptr ds:[2CF0400],eax
02CF0005     8908                    mov dword ptr ds:[eax],ecx
02CF0007     AD                      lods dword ptr ds:[esi]
02CF0008     C746 FC 00000000        mov dword ptr ds:[esi-4],0
02CF000F   - E9 3990C4FD             jmp yhds.006D2CDA---------------------地址A
02CF0014     50                      push eax
02CF0015     A1 0004CF02             mov eax,dword ptr ds:[2CF0400]
02CF001A     8907                    mov dword ptr ds:[edi],eax
02CF001C     807F FF E8              cmp byte ptr ds:[edi-1],0E8
02CF0020     75 08                   jnz short 02CF002A
02CF0022     66:C747 FE FF15         mov word ptr ds:[edi-2],15FF
02CF0028     EB 06                   jmp short 02CF0030
02CF002A     66:C747 FE FF25         mov word ptr ds:[edi-2],25FF
02CF0030     58                      pop eax
02CF0031   - E9 ED90C4FD             jmp yhds.006D2DB0---------------------地址B
02CF0036     50                      push eax
02CF0037     A1 0004CF02             mov eax,dword ptr ds:[2CF0400]
02CF003C     8947 01                 mov dword ptr ds:[edi+1],eax
02CF003F     807F FF E8              cmp byte ptr ds:[edi-1],0E8
02CF0043     75 08                   jnz short 02CF004D
02CF0045     66:C747 FF FF15         mov word ptr ds:[edi-1],15FF
02CF004B     EB 06                   jmp short 02CF0053
02CF004D     66:C747 FF FF25         mov word ptr ds:[edi-1],25FF
02CF0053     58                      pop eax
02CF0054   - 0F85 C990C4FD           jnz yhds.006D2DB0---------------------地址B
02CF005A   - E9 AC90C4FD             jmp yhds.006D2D98---------------------地址C
02CF005F     83C7 04                 add edi,4
02CF0062   - E9 E68FC4FD             jmp yhds.006D2CDA---------------------地址A
02CF0067     90                      nop

二进制代码:
A3 00 04 CF 02 89 08 AD C7 46 FC 00 00 00 00 E9 C6 2C 6E FB 50 A1 00 04 CF 02 89 07 80 7F FF E8
75 08 66 C7 47 FE FF 15 EB 06 66 C7 47 FE FF 25 58 E9 7A 2D 6E FB 50 A1 00 04 CF 02 89 47 01 80
7F FF E8 75 08 66 C7 47 FF FF 15 EB 06 66 C7 47 FF FF 25 58 0F 85 56 2D 6E FB E9 39 2D 6E FB 83
C7 04 E9 73 2C 6E FB 90

写好代码后,取消先前在code段下的内存断点,shift+F9,中断在006D2DFE,到这里已经获得了IAT,现在找OEP.

在006D2DFE处,断下后,取消断点,ALT+M打开内存察看窗口,直接在代码段F2下断点。Shift+F9断在OEP处

00406380    53              PUSH EBX----------OEP
00406381    8BD8            MOV EBX,EAX
00406383    33C0            XOR EAX,EAX
00406385    A3 A0004900     MOV DWORD PTR DS:[4900A0],EAX
0040638A    6A 00           PUSH 0
0040638C    E8 2BFFFFFF     CALL jdbb.004062BC                       ; JMP 到 kernel32.GetModuleHandleA
00406391    A3 68364900     MOV DWORD PTR DS:[493668],EAX
00406396    A1 68364900     MOV EAX,DWORD PTR DS:[493668]
0040639B    A3 AC004900     MOV DWORD PTR DS:[4900AC],EAX
004063A0    33C0            XOR EAX,EAX
004063A2    A3 B0004900     MOV DWORD PTR DS:[4900B0],EAX
004063A7    33C0            XOR EAX,EAX
004063A9    A3 B4004900     MOV DWORD PTR DS:[4900B4],EAX
004063AE    E8 C1FFFFFF     CALL jdbb.00406374
004063B3    BA A8004900     MOV EDX,jdbb.004900A8
004063B8    8BC3            MOV EAX,EBX
004063BA    E8 9DDAFFFF     CALL jdbb.00403E5C
004063BF    5B              POP EBX
004063C0    C3              RETN
004063C1    8D40 00         LEA EAX,DWORD PTR DS:[EAX]
004063C4    55              PUSH EBP
004063C5    8BEC            MOV EBP,ESP

到这里就可以用LordPE纠正大小后完整dump出来了,打开ImportREC F1.6, OEP:6380,自动搜索,获得有效指针RAV:9518C, 大小:76C,剪掉一个无效指针后修改dump出来的文件,修复后PEID0.94显示是Borland Delphi 6.0 - 7.0
,修复后windycandy[PYG]大侠的程序可以正常运行,但是 本人测试根本无法运行,无任何出错提示!希望windycandy[PYG],fly 等大侠能够指点下 等待。。。。

程序是运行的  但是 界面是 隐藏的一样 不显示  哎 ~请高手指点下吧 ~~  进程在 。。。。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (9)
frip
雪    币: 215
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
谢谢了:学习下这个强壳,动画下载链接里面多了个?,
2006-12-15 08:40
0
olhsocn
雪    币: 415
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
去掉?之后可以下载。。。
2006-12-15 10:02
0
tclma
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
下载太费劲.服务器从置
2006-12-15 14:37
0
wynney
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
5
没啥意义
VM还原不了基本=0
继续加油
2006-12-15 14:39
0
sbright
雪    币: 146
活跃值: (33)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
6
晕,昨天我才发的windycandy[PYG]的动画
..不知道翻版的意义是?
还是不下了.
2006-12-15 17:32
0
ssh
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
ssh
7
最初由 sbright 发布
晕,昨天我才发的windycandy[PYG]的动画
..不知道翻版的意义是?
还是不下了.


我主要是请教问题,希望能理解,windycandy[PYG]可以正常运行!为什么?
2006-12-15 18:05
0
djpvd
雪    币: 320
活跃值: (104)
能力值: (RANK:180 )
在线值:
发帖
回帖
粉丝
私信
8
我想?教一下 呃???玩修?之後 就不用修?Call 跟 jmp了?

90E8 改 FF15 90E9 改 FF25 之?的

因?我之前是教程看不懂 直接Shift+F9找OEP 修?入口? 跟.data

??按照Fly大?承下?的??方式 ?玩後就?有Call 跟 jmp 90E8陪90E9呃?的?铨了?

THX
2006-12-15 21:20
0
ssh
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
ssh
9
最初由 djpvd 发布
我想?教一下 呃???玩修?之後 就不用修?Call 跟 jmp了?

90E8 改 FF15 90E9 改 FF25 之?的

因?我之前是教程看不懂 直接Shift+F9找OEP 修?入口? 跟.data
........


这个动画 我是 翻版 windycandy[PYG]的动画 并都是根据fly大侠的这个http://www.unpack.cn/viewthread.php?tid=2061&extra=page%3D19
文章 直接动画了,关于这个 要请 fly 出面了  呵呵
2006-12-16 00:40
0
tclma
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
我看了你的动画,我脱了一下,遇到了问提,lt+M 打开内存察看窗口,在代码段设置内存写入断点。连续Shift+F9三次后中.我Shift+F9,一次出现A Debugger has been found runing in your system please , unload if from. memorg and restart your program .你给我解决一下,谢谢,等带回信
2006-12-16 12:58
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//