1.软件被用藏经阁捆绑软件会员版捆绑。

2.OD载入捆绑后之程序，F9运行，捆绑后之程序将被捆绑软件解压到内存，并直接内存启动此软件，启动此软件后，OD中捆绑后之程序运行结束(OD运行结束)，此时被捆绑软件已脱离捆绑后之程序独立运行。

3.OD重新载入捆绑后之程序，下任何断点，你会发现：断点只能断捆绑后之程序，而对被捆绑软件完全失效。

4.由于捆绑后之程序运行过程中直接把被捆绑软件解压到内存，所以你无法看到被捆绑软件的代码，你就无法对其进行分析，起到保护你软件的目的。是不是超强呀？朋友们，如果你的软件老被破解，请试试此方法：)

以下是高手的回复
'·.::Κūйɡβǐм::.·' ：
根据情况，反之。。。。MemDump 即可
由于捆绑后之程序运行过程中直接把被捆绑软件解压到内存，所以你无法看到被捆绑软件的代码
这个应该属于非经典壳－捆绑壳

你就无法对其进行分析，起到保护你软件的目的。是不是超强呀
are you sure?
偶hook你的分配内存和写内存代码
让你直接写到文件
再去运行那个文件不就是无壳的了

一句话 你这个办法只能欺骗新手
在真正的老手面前 一切取巧都没用
代码VM 混乱 加密 变形 才是王道啊

[ 本帖最后由 zhuwg 于 2008-1-3 08:27 编辑 ]
引用:
原帖由 breezer 于 2008-1-3 16:32 发表
BP WriteProcessMemory
与其这样，不如Hook WriteProcessMemory，Dump data
引用:
偶hook你的分配内存和写内存代码
让你直接写到文件
再去运行那个文件不就是无壳的了
這一個方法確實打中重點, 可以輕易解出來.

有人知道要如何做和完整的hook代码吗？郁闷中................

[课程]Linux pwn 探索篇！