首页
社区
课程
招聘
[旧帖] [原创]菜鸟脱壳"手机号码归属地查询软件 V6.3.8.0110 会员版"全过程 0.00雪花
发表于: 2008-1-17 12:08 3887

[旧帖] [原创]菜鸟脱壳"手机号码归属地查询软件 V6.3.8.0110 会员版"全过程 0.00雪花

2008-1-17 12:08
3887
几天前把论坛中指导新手的文章和里面的例子都看完了 昨天就立志一定要自己动手 而且独立脱壳一个软件 于是就去天空软件随便当了一个软件回来 居然脱壳成功了 今天就把自己过程写出来  第一次写文章  

[手机号码归属地查询软件 V6.3.8.0110 会员版]
[http://www.skycn.com/soft/8728.html]

用PEid查看



(其实我对壳没研究的,查看了也对我自己没什么特殊效果 )

用od打开停在这里,然后按照新手文章的中的方法,下 hr 12ffc0 断点



一下就停在这里,还以为已经脱壳了( )



然后赶紧dump下来运行 可是不行    再拿peid查看 还有壳



再来 载入程序 看了开头的几行代码 发现那几行代码就是直接跳转到刚刚我要dump位置 自己被忽悠了 于是"查看"->"内存" 在代码的地方下内存访问断点



之后



这里可以把断点先删除 然后用f4 直接运行到 011D8F75    5F              POP EDI 这里



到了这里



也是先删除断点 再用f4 运行到这里(下图) 再重新下断点



之后还有好几个地方 需要这样的重复 到了这里的时候 就要差不多到 尾声了





然后 用原来的方法 f4 到这里  再下断点



之后在f9 运行  突然一下 豁然开朗的感觉来了 



对比各个寄存器的值和刚开始运行程序 一样 我判断这个 就是 真正的入口点

然后用OD中dump了下来 居然不能 运行       那么就用 LordPE dump 吧 再用ImportREC修复输入表的 时候居然卡住不动了    难道刚刚的 不是真正入口  

在用OD打开刚刚 用OD dump 下来程序 准备一步一步的走
(有2个目的)
1 看看是不是还没解压完毕
2 看看是那里出现错误了

跟到这里的时候 我发现 一运行到这里就错误   这么早就有错误了 



然后 f7 进去发现了这些  



哇这么多 api 都没有 愿不得会出现 错误呢

然后打开原来程序(我刚刚脱壳的那个还没关 如果你关了 就重来一边吧  )



然后把这些没有API位置 在原程序中的 同样位置 进行观察 发现 很多特别的加密手法  





把原程序中位置 跟随进去发现 很特别的手法

比如这里 解压到很远的 位置 然后封装 api



比如这里 跳到 api 内部的位置 把api内部部分代码 拿来用



看来这样的程序要运行 就要大修改了  

动手拉 

先把这个地方用16进制编辑软件 11个节改成 12个节 





再 这里的大小改成 4A 00 00





再 在这里写个自己的段



再 把这里输入表的位置改到这里



再 这里把原来的输入表复制来



然后从原程序中 得到还需要的 api 名称 和所属的 dll

再 添加







保存后 这样就该 下一个阶段了

关掉第2个OD 再重新打开 这个新保存的

对照原来程序中跳转一一修改

向这样的可以 直接改写 成 call XXXXXXXXX



这样的必须 复制原来的代码 在新段中 然后跳转





经过3个小时 的复杂 的重复 工作终于 搞好了 





运行一下 成功拉  

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 557
活跃值: (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
偶菜不敢脱ASPR   修复有点难度  
另好像PEID对起版本的检测是不准确的
2008-1-17 13:43
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
帮你顶一下。呵呵
2008-1-17 17:07
0
雪    币: 2506
活跃值: (1030)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
4
这个程序是C++Builder写的吧?以前看过它的旧版,OEP被抽了一些代码。输入表的加密看一下论坛上的教程,应该是比较容易处理的。
2008-1-17 20:01
0
游客
登录 | 注册 方可回帖
返回
//