一、简介
【郑重声明】:本文只为技术而破解,纯属技术交流, 请勿用于非法用途。
【软件名称】:国产登陆器
【下载页面】:http://www.wooolff.com/xuexue.exe (PS:一直关注这个东西今天居然换壳了)
【软件简介】:登陆器
【调试环境】:winxp、OD-fly修改版、PEID0.94
【软件限制】:专杀加速器进程.
1.脱壳
用PEID0.94查看主程序,壳为UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo[overlay]
Ollydbg载入主程序:
004C1A20 > 60 pushad
004C1A21 BE 00704600 mov esi, 00467000
004C1A26 8DBE 00A0F9FF lea edi, [esi+FFF9A000]
004C1A2C 57 push edi
004C1A2D 83CD FF or ebp, FFFFFFFF
004C1A30 EB 10 jmp short 004C1A42
004C1A32 90 nop
004C1A33 90 nop
004C1A34 90 nop
004C1A35 90 nop
004C1A36 90 nop
004C1A37 90 nop
004C1A38 8A06 mov al, [esi]
004C1A3A 46 inc esi
004C1A3B 8807 mov [edi], al
单步F8查看寄存器.
---------寄存器-------
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDE000
ESP 0012FFA4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 004C1A21 xuexue.004C1A21
---------------------------
根据ESP定律规则,现在在命令栏中下 hr 0012FFA4命令,回车,F9运行:
004C1B83 - E9 A91CF4FF jmp 00403831
004C1B88 0000 add [eax], al
004C1B8A 0000 add [eax], al
004C1B8C 0000 add [eax], al
004C1B8E 0000 add [eax], al
004C1B90 0000 add [eax], al
004C1B92 0000 add [eax], al
004C1B94 0000 add [eax], al
004C1B96 0000 add [eax], al
单步F8来到.
00403831 55 push ebp 在这用DUMP这个程序
00403832 8BEC mov ebp, esp
00403834 6A FF push -1
00403836 68 F0624000 push 004062F0
0040383B 68 A44C4000 push 00404CA4
00403840 64:A1 00000000 mov eax, fs:[0]
00403846 50 push eax
00403847 64:8925 0000000>mov fs:[0], esp
0040384E 83EC 58 sub esp, 58
00403851 53 push ebx
00403852 56 push esi
00403853 57 push edi
00403854 8965 E8 mov [ebp-18], esp
00403857 FF15 48604000 call [406048] ; kernel32.GetVersion
脱壳修复:
运行ImportREC 1.6,选择这个进程,把OEP改为 00403831 ,点ITAutoSearch,指针全部有效。FixDump!
修复完之后,运行. Invalid date ia file.!!!!!!!
加上overlay数据之后.程序.运行正常.
接着试着用.winhex 查找hook.dll .GeartNt.exe(登陆器会杀这两个进程)
找了一遍没有反现什么.
接着..把程序跑起来.点登陆游戏.之后..随意查找.也查不到.但.只要开.变速齿轮也就是GeartNt.exe.
登陆器.立即关了.GearNt.exe进程.
试请教:这种情况怎么下断???.......怎么让他断在没有变速齿轮之前??
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
