【文章标题】: 脱“西瓜”皮
【文章作者】: holmescn
【作者邮箱】: holmesconan@gmail.com
【作者主页】: holmesconan.googlepages.com
【作者QQ号】: 83323299
【软件名称】: WLanguageOK
【软件大小】: 22.5M
【下载地址】: 自己搜索下载
【加壳方式】: NsPacK V3.7 -> LiuXingPing [Overlay]
【编写语言】: Dephi 6.0 - 7.0
【使用工具】: OD ImportREC LordPE PEiD
【操作平台】: WinXP sp2
【软件介绍】: 一个非常不错的英语学习软件,网上有很多介绍
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
西瓜的大名,可能早就尽人皆知了。不多废话。在网上找了N天破解,没有找到,只有求的,没有破的,可能是因为版权吧。
研究了半天,也没有研究出个啥,先写一点再说吧。
安装之后,先PEiD一下。发现有壳啊!NsPacK V3.7 -> LiuXingPing [Overlay]*
好的,先干它吧。干了它,我这个新手的任务就完成了。
下面用OD,加载之后,先看到pushfd pushad,呵呵,高兴了,往下翻吧,啥也别说了。
找到了popad popfd。就这里了,F4过来。看到一个jmp了,就它!记下先。不抓代码了,很easy,自己做吧。呵呵
我这里是4AD848
现在不要退出OD,(我也不明白为什么,退了再抓的dump就不能用,不退就能用,高手解释一下。难道只是在我这里有问题?)
开启LordPE dump full它!
然后ImportREC,选中进程后,在OEP处添上AD848(就是刚才jmp后面的那个地址。因为基地址是400000,所以这里把4去了,写相对地址)。
IAT AutoSearch后,Get Import,居然全YES,(老天太厚爱我了!)。赶快Fix Dump。
运行一下fix了的dump。OK,没有问题。
再PEiD一下,看有没有别的壳了。得到Borland Dephi 6.0 - 7.0,哈哈,没有壳了。已经完工!
不过,先不收工。用PEiD的Krypto ANALyzer看一下。有很多的 big number,没有别的加密函数了。这是怎么回事?
今天已经没有什么可分析的了。先这样吧。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2007年06月11日 22:15:09
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!