CopyMinder有Key脱壳——Hard Boot Life Gold V21-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

CopyMinder有Key脱壳——Hard Boot Life Gold V21

发表于: 2007-7-6 11:50 8568

CopyMinder有Key脱壳——Hard Boot Life Gold V21

fly

2007-7-6 11:50

8568

↑

下载地址： http://neo-the-one-resource.com/sapr/Hard_Boot_Life_Gold_v21.zip
软件大小： 3.77M

【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教
【调试环境】：WinXP、OllyDbg、PEiD、LordPE、ImportREC
_____________________________________________________________
【脱壳过程】：

CopyMinder is a copy protection system that operates differently from all other systems and achieves what has, up to now, been thought impossible: hassle free, secure, flexible copy protection.CopyMinder requires occasional Internet access to achieve this flexibility but those without Internet access are also accommodated.

此壳用者稀少，壳的知名度也不高。

[CopyMinder -> Microcosm.Ltd   * Sign.By.fly]
signature = 83 25 ?? ?? ?? ?? EF 6A 00 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25 ?? ?? ?? ?? FF 25
ep_only = true

00517940    8325 14805100 EF    and dword ptr ds:[518014],FFFFFFEF
//进入OllyDbg后暂停在这
00517947    6A 00               push 0
00517949    E8 E5F6FFFF         call 00517033
0051794E    E8 4F000000         call 005179A2 ; <jmp.&KERNEL32.ExitProcess>
00517953    CC                  int3

0013FA58   00A134DC   /CALL 到 VirtualProtect 来自 00A134D6
0013FA5C   00401000   |Address = Hard_Boo.00401000
0013FA60   0003EA00   |Size = 3EA00 (256512.)
0013FA64   00000040   |NewProtect = PAGE_EXECUTE_READWRITE
0013FA68   0013FED1   \pOldProtect = 0013FED1

0013FA50   00516571   /CALL 到 VirtualAlloc 来自 Hard_Boo.0051656F
0013FA54   00000000   |Address = NULL
0013FA58   00000C38   |Size = C38 (3128.)
0013FA5C   00001000   |AllocationType = MEM_COMMIT
0013FA60   00000040   \Protect = PAGE_EXECUTE_READWRITE

0051656F    FFD0                call eax
00516571    5A                  pop edx
//返回这里
00516572    8BF8                mov edi,eax
00516574    50                  push eax
00516575    52                  push edx
00516576    8B33                mov esi,dword ptr ds:[ebx]
00516578    8B43 20             mov eax,dword ptr ds:[ebx+20]
0051657B    03C2                add eax,edx
0051657D    8B08                mov ecx,dword ptr ds:[eax]
0051657F    894B 20             mov dword ptr ds:[ebx+20],ecx
00516582    8B43 1C             mov eax,dword ptr ds:[ebx+1C]
00516585    03C2                add eax,edx
00516587    8B08                mov ecx,dword ptr ds:[eax]
00516589    894B 1C             mov dword ptr ds:[ebx+1C],ecx
0051658C    03F2                add esi,edx
0051658E    8B4B 0C             mov ecx,dword ptr ds:[ebx+C]
00516591    03CA                add ecx,edx
00516593    8D43 1C             lea eax,dword ptr ds:[ebx+1C]
00516596    50                  push eax
00516597    57                  push edi
00516598    56                  push esi
00516599    FFD1                call ecx
0051659B    5A                  pop edx
0051659C    58                  pop eax
0051659D    0343 08             add eax,dword ptr ds:[ebx+8]
005165A0    8BF8                mov edi,eax
005165A2    52                  push edx
005165A3    8BF0                mov esi,eax
005165A5    8B46 FC             mov eax,dword ptr ds:[esi-4]
005165A8    83C0 04             add eax,4
005165AB    2BF0                sub esi,eax
005165AD    8956 08             mov dword ptr ds:[esi+8],edx
005165B0    8B4B 10             mov ecx,dword ptr ds:[ebx+10]
005165B3    894E 24             mov dword ptr ds:[esi+24],ecx
005165B6    8B4B 14             mov ecx,dword ptr ds:[ebx+14]
005165B9    51                  push ecx
005165BA    894E 28             mov dword ptr ds:[esi+28],ecx
005165BD    8B4B 0C             mov ecx,dword ptr ds:[ebx+C]
005165C0    894E 14             mov dword ptr ds:[esi+14],ecx
005165C3    FFD7                call edi
//解密程序

  mov ecx,dword ptr ds:[esi+34]
  test ecx,ecx

00AB0204    53                  push ebx
00AB0205    57                  push edi
00AB0206    56                  push esi
00AB0207    55                  push ebp
00AB0208    E8 00000000         call 00AB020D
00AB020D    5D                  pop ebp
00AB020E    81ED 30120010       sub ebp,10001230
00AB0214    8DB5 27120010       lea esi,dword ptr ss:[ebp+10001227]
00AB021A    8B46 FC             mov eax,dword ptr ds:[esi-4]
00AB021D    83C0 04             add eax,4
00AB0220    2BF0                sub esi,eax
00AB0222    8B56 08             mov edx,dword ptr ds:[esi+8]
00AB0225    8B46 1C             mov eax,dword ptr ds:[esi+1C]
00AB0228    03C2                add eax,edx
00AB022A    8B08                mov ecx,dword ptr ds:[eax]
00AB022C    898D 4A1B0010       mov dword ptr ss:[ebp+10001B4A],ecx
00AB0232    8B46 20             mov eax,dword ptr ds:[esi+20]
00AB0235    03C2                add eax,edx
00AB0237    8B08                mov ecx,dword ptr ds:[eax]
00AB0239    898D 4E1B0010       mov dword ptr ss:[ebp+10001B4E],ecx
00AB023F    8B46 24             mov eax,dword ptr ds:[esi+24]
00AB0242    03C2                add eax,edx
00AB0244    8B08                mov ecx,dword ptr ds:[eax]
00AB0246    898D 521B0010       mov dword ptr ss:[ebp+10001B52],ecx
00AB024C    8B46 28             mov eax,dword ptr ds:[esi+28]
00AB024F    03C2                add eax,edx
00AB0251    8B08                mov ecx,dword ptr ds:[eax]
00AB0253    898D 561B0010       mov dword ptr ss:[ebp+10001B56],ecx
00AB0259    FC                  cld
00AB025A    8BDE                mov ebx,esi
00AB025C    837B 48 01          cmp dword ptr ds:[ebx+48],1
00AB0260    74 15               je short 00AB0277
00AB0262    8B73 44             mov esi,dword ptr ds:[ebx+44]
00AB0265    85F6                test esi,esi
00AB0267    74 0E               je short 00AB0277
00AB0269    B9 23000000         mov ecx,23
00AB026E    03F2                add esi,edx
00AB0270    8B7B 40             mov edi,dword ptr ds:[ebx+40]
00AB0273    03FA                add edi,edx
00AB0275    F3:A4               rep movs byte ptr es:[edi],byte ptr ds:[e>
00AB0277    8BF3                mov esi,ebx
00AB0279    8DBD 3A1B0010       lea edi,dword ptr ss:[ebp+10001B3A]
00AB027F    012F                add dword ptr ds:[edi],ebp
00AB0281    016F 04             add dword ptr ds:[edi+4],ebp
00AB0284    8D8D 191A0010       lea ecx,dword ptr ss:[ebp+10001A19]
00AB028A    51                  push ecx
00AB028B    E8 26010000         call 00AB03B6
00AB0290    90                  nop
00AB0291    90                  nop
00AB0292    90                  nop
00AB0293    90                  nop
00AB0294    90                  nop
00AB0295    90                  nop
00AB0296    90                  nop
00AB0297    90                  nop
00AB0298    8B4E 2C             mov ecx,dword ptr ds:[esi+2C]
00AB029B    8B56 24             mov edx,dword ptr ds:[esi+24]
00AB029E    0356 08             add edx,dword ptr ds:[esi+8]
00AB02A1    898D 461B0010       mov dword ptr ss:[ebp+10001B46],ecx
00AB02A7    6A 40               push 40
00AB02A9    68 00100000         push 1000
00AB02AE    51                  push ecx
00AB02AF    6A 00               push 0
00AB02B1    FF12                call dword ptr ds:[edx]
00AB02B3    8985 421B0010       mov dword ptr ss:[ebp+10001B42],eax
00AB02B9    56                  push esi
00AB02BA    E8 89030000         call 00AB0648
00AB02BF    85C0                test eax,eax
00AB02C1    0F85 A6000000       jnz 00AB036D
00AB02C7    56                  push esi
00AB02C8    E8 D7020000         call 00AB05A4
00AB02CD    56                  push esi
00AB02CE    E8 DF010000         call 00AB04B2
00AB02D3    90                  nop
00AB02D4    90                  nop
00AB02D5    90                  nop
00AB02D6    90                  nop
00AB02D7    90                  nop
00AB02D8    90                  nop
00AB02D9    90                  nop
00AB02DA    90                  nop
00AB02DB    90                  nop
00AB02DC    90                  nop
00AB02DD    90                  nop
00AB02DE    90                  nop
00AB02DF    90                  nop
00AB02E0    90                  nop
00AB02E1    8B4E 34             mov ecx,dword ptr ds:[esi+34]
//找到这里，中断后取消断点
//[esi+34]=000E1914    Import Table RVA
00AB02E4    85C9                test ecx,ecx
00AB02E6    0F84 89000000       je 00AB0375
00AB02EC    034E 08             add ecx,dword ptr ds:[esi+8]
00AB02EF    51                  push ecx
00AB02F0    56                  push esi
00AB02F1    E8 38050000         call 00AB082E
//进入
00AB02F6    85C0                test eax,eax
00AB02F8    74 7B               je short 00AB0375

00AB0862    E8 18000000         call 00AB087F
//进入

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・7

支持

最新回复 (9)
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 2 楼支持+学习！！ 2007-7-6 13:06 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 3 楼学习+支持！！ 2007-7-6 13:09 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼向挂章的shoooo英雄学习+支持啊 2007-7-6 13:15 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 5 楼提议给fly老大颁发最佳灌水奖~~~~ 2007-7-6 13:21 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼留给更需要的兄弟吧貌似在这个论坛我的发帖量还是最多的,汗 2007-7-6 15:06 0
skywall 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	skywall 7 楼支持学习，最近正在学习脱壳，看了三人行的教程以后，我现在已经可以看懂FLY大大脱壳教程了，嘻嘻,不要扔砖头。 2007-7-6 16:21 0
zcly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	zcly 8 楼谢谢了,正在学习脱壳 2007-7-6 16:57 0
soychino 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 169 粉丝 0 关注私信	soychino 9 楼好文章，学习！！ 2007-7-6 22:32 0
大盗雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 29 粉丝 0 关注私信	大盗 10 楼虽然看不懂,还是顶下 2007-7-7 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 2 楼支持+学习！！ 2007-7-6 13:06 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 3 楼学习+支持！！ 2007-7-6 13:09 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼向挂章的shoooo英雄学习+支持啊 2007-7-6 13:15 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 5 楼提议给fly老大颁发最佳灌水奖~~~~ 2007-7-6 13:21 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼留给更需要的兄弟吧貌似在这个论坛我的发帖量还是最多的,汗 2007-7-6 15:06 0
skywall 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	skywall 7 楼支持学习，最近正在学习脱壳，看了三人行的教程以后，我现在已经可以看懂FLY大大脱壳教程了，嘻嘻,不要扔砖头。 2007-7-6 16:21 0
zcly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	zcly 8 楼谢谢了,正在学习脱壳 2007-7-6 16:57 0
soychino 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 169 粉丝 0 关注私信	soychino 9 楼好文章，学习！！ 2007-7-6 22:32 0
大盗雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 29 粉丝 0 关注私信	大盗 10 楼虽然看不懂,还是顶下 2007-7-7 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复