[原创]菜鸟脱壳"手机号码归属地查询软件 V6.3.8.0110 会员版"全过程-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]菜鸟脱壳"手机号码归属地查询软件 V6.3.8.0110 会员版"全过程 0.00雪花

发表于: 2008-1-17 12:08 3874

[旧帖] [原创]菜鸟脱壳"手机号码归属地查询软件 V6.3.8.0110 会员版"全过程 0.00雪花

小屎屎

2008-1-17 12:08

3874

几天前把论坛中指导新手的文章和里面的例子都看完了昨天就立志一定要自己动手而且独立脱壳一个软件于是就去天空软件随便当了一个软件回来居然脱壳成功了今天就把自己过程写出来

第一次写文章

[手机号码归属地查询软件 V6.3.8.0110 会员版]
[http://www.skycn.com/soft/8728.html]

用PEid查看

(其实我对壳没研究的,查看了也对我自己没什么特殊效果

)

用od打开停在这里,然后按照新手文章的中的方法,下 hr 12ffc0 断点

一下就停在这里,还以为已经脱壳了(

)

然后赶紧dump下来运行可是不行

再拿peid查看还有壳

再来载入程序看了开头的几行代码发现那几行代码就是直接跳转到刚刚我要dump位置自己被忽悠了于是"查看"->"内存" 在代码的地方下内存访问断点

之后

这里可以把断点先删除然后用f4 直接运行到 011D8F75 5F POP EDI 这里

到了这里

也是先删除断点再用f4 运行到这里(下图) 再重新下断点

之后还有好几个地方需要这样的重复到了这里的时候就要差不多到尾声了

然后用原来的方法 f4 到这里再下断点

之后在f9 运行突然一下豁然开朗的感觉来了

对比各个寄存器的值和刚开始运行程序一样我判断这个就是真正的入口点

然后用OD中dump了下来居然不能运行

那么就用 LordPE dump 吧再用ImportREC修复输入表的时候居然卡住不动了

难道刚刚的不是真正入口

在用OD打开刚刚用OD dump 下来程序准备一步一步的走
(有2个目的)
1 看看是不是还没解压完毕
2 看看是那里出现错误了

跟到这里的时候我发现一运行到这里就错误

这么早就有错误了

然后 f7 进去发现了这些

哇这么多 api 都没有愿不得会出现错误呢

然后打开原来程序(我刚刚脱壳的那个还没关如果你关了就重来一边吧

)

然后把这些没有API位置在原程序中的同样位置进行观察发现很多特别的加密手法

把原程序中位置跟随进去发现很特别的手法

比如这里解压到很远的位置然后封装 api

比如这里跳到 api 内部的位置把api内部部分代码拿来用

看来这样的程序要运行就要大修改了

动手拉

先把这个地方用16进制编辑软件 11个节改成 12个节

再这里的大小改成 4A 00 00

再在这里写个自己的段

再把这里输入表的位置改到这里

再这里把原来的输入表复制来

然后从原程序中得到还需要的 api 名称和所属的 dll

再添加

保存后这样就该下一个阶段了

关掉第2个OD 再重新打开这个新保存的

对照原来程序中跳转一一修改

向这样的可以直接改写成 call XXXXXXXXX

这样的必须复制原来的代码在新段中然后跳转

经过3个小时的复杂的重复工作终于搞好了

运行一下成功拉

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

bbs_3.jpg （53.30kb，72次下载）
bbs_4.jpg （24.48kb，71次下载）
bbs_5.jpg （7.61kb，71次下载）
bbs_6.jpg （6.43kb，71次下载）
bbs_7.jpg （21.09kb，70次下载）
bbs_8.jpg （24.35kb，70次下载）
bbs_9.jpg （10.32kb，70次下载）
bbs_10.jpg （24.28kb，69次下载）
bbs_11.jpg （19.48kb，69次下载）
bbs_12.jpg （16.42kb，69次下载）
bbs_13.jpg （45.92kb，69次下载）
bbs_14.jpg （24.95kb，68次下载）
bbs_15.jpg （54.49kb，69次下载）
bbs_16.jpg （2.89kb，68次下载）
bbs_17.jpg （35.27kb，68次下载）
bbs_18.jpg （14.83kb，68次下载）
bbs_19.jpg （7.96kb，67次下载）
bbs_20.jpg （6.59kb，67次下载）
bbs_21.jpg （16.39kb，68次下载）
bbs_22.jpg （40.42kb，71次下载）
bbs_23.jpg （6.72kb，70次下载）
bbs_24.jpg （14.34kb，67次下载）
bbs_25.jpg （16.25kb，69次下载）
bbs_26.jpg （4.16kb，68次下载）
bbs_27.jpg （68.05kb，68次下载）
bbs_28.jpg （11.29kb，68次下载）
bbs_29.jpg （103.50kb，69次下载）
bbs_30.jpg （77.20kb，67次下载）
bbs_31.jpg （3.60kb，68次下载）
bbs_32.jpg （18.83kb，68次下载）
bbs_33.jpg （19.41kb，72次下载）
bbs_34.jpg （138.24kb，70次下载）
bbs_35.jpg （73.87kb，68次下载）
bbs_1.jpg （25.98kb，73次下载）
bbs_2.jpg （64.52kb，72次下载）

收藏・0

免费・0

支持

最新回复 (3)
蚊香雪币： 557 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 460 粉丝 0 关注私信	蚊香 3 2 楼偶菜不敢脱ASPR 修复有点难度另好像PEID对起版本的检测是不准确的 2008-1-17 13:43 0
华仔狂牛雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	华仔狂牛 3 楼帮你顶一下。呵呵 2008-1-17 17:07 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 4 楼这个程序是C++Builder写的吧？以前看过它的旧版，OEP被抽了一些代码。输入表的加密看一下论坛上的教程，应该是比较容易处理的。 2008-1-17 20:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小屎屎

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (3)
蚊香雪币： 557 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 460 粉丝 0 关注私信	蚊香 3 2 楼偶菜不敢脱ASPR 修复有点难度另好像PEID对起版本的检测是不准确的 2008-1-17 13:43 0
华仔狂牛雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	华仔狂牛 3 楼帮你顶一下。呵呵 2008-1-17 17:07 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 4 楼这个程序是C++Builder写的吧？以前看过它的旧版，OEP被抽了一些代码。输入表的加密看一下论坛上的教程，应该是比较容易处理的。 2008-1-17 20:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复