【文章标题】: 脱“西瓜”皮
【文章作者】: holmescn
【作者邮箱】: holmesconan@gmail.com
【作者主页】: holmesconan.googlepages.com
【作者QQ号】: 83323299
【软件名称】: WLanguageOK
【软件大小】: 22.5M
【下载地址】: 自己搜索下载
【加壳方式】: NsPacK V3.7 -> LiuXingPing [Overlay]
【编写语言】: Dephi 6.0 - 7.0
【使用工具】: OD ImportREC LordPE PEiD
【操作平台】: WinXP sp2
【软件介绍】: 一个非常不错的英语学习软件，网上有很多介绍
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  西瓜的大名，可能早就尽人皆知了。不多废话。在网上找了N天破解，没有找到，只有求的，没有破的，可能是因为版权吧。
  研究了半天，也没有研究出个啥，先写一点再说吧。
  安装之后，先PEiD一下。发现有壳啊！NsPacK V3.7 -> LiuXingPing [Overlay]*
  好的，先干它吧。干了它，我这个新手的任务就完成了。
  下面用OD，加载之后，先看到pushfd pushad，呵呵，高兴了，往下翻吧，啥也别说了。
  找到了popad popfd。就这里了，F4过来。看到一个jmp了，就它！记下先。不抓代码了，很easy，自己做吧。呵呵
  我这里是4AD848
  现在不要退出OD，（我也不明白为什么，退了再抓的dump就不能用，不退就能用，高手解释一下。难道只是在我这里有问题？）
  开启LordPE dump full它！
  然后ImportREC，选中进程后，在OEP处添上AD848（就是刚才jmp后面的那个地址。因为基地址是400000，所以这里把4去了，写相对地址）。
  IAT AutoSearch后，Get Import,居然全YES，（老天太厚爱我了！）。赶快Fix Dump。
  运行一下fix了的dump。OK,没有问题。
  再PEiD一下，看有没有别的壳了。得到Borland Dephi 6.0 - 7.0，哈哈，没有壳了。已经完工！
  
  不过，先不收工。用PEiD的Krypto ANALyzer看一下。有很多的 big number，没有别的加密函数了。这是怎么回事？
  今天已经没有什么可分析的了。先这样吧。
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年06月11日 22:15:09

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课