-
-
[旧帖] [求助]脱壳的问题 0.00雪花
-
发表于: 2008-5-30 18:07
-
破解作者】 achang
【作者邮箱】 achangyq@yahoo.cn
【使用工具】 OD peid IR LordPE
【破解平台】 Win9x/NT/2000/XP
【软件名称】
【下载地址】 自己搜索下载
【加壳方式】 ASPack 2.12 -> Alexey Solodovnikov
【破解声明】 只是感兴趣,没有其他目的。
--------------------------------------------------------------------------------
【破解内容】
具体的流程如下:
1、查壳
拿起PEid,一看:ASPack 2.12 -> Alexey Solodovnikov EP区段:LHYPack
心想简单,不是那些变态的加密壳,呵!
用OD载入:
00595001 > 60 PUSHAD
00595002 E8 03000000 CALL WinsealX.0059500A //Esp定律
00595007 - E9 EB045D45 JMP 45B654F7
0059500C 55 PUSH EBP
0059500D C3 RETN
0059500E E8 01000000 CALL WinsealX.00595014
00595013 EB 5D JMP SHORT WinsealX.00595072
00595015 BB EDFFFFFF MOV EBX,-13
0059501A 03DD ADD EBX,EBP
0059501C 81EB 00501900 SUB EBX,195000
00595022 83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
00595029 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX
0059502F 0F85 65030000 JNZ WinsealX.0059539A
00595035 8D85 2E040000 LEA EAX,DWORD PTR SS:[EBP+42E]
0059503B 50 PUSH EAX
0059503C FF95 4D0F0000 CALL DWORD PTR SS:[EBP+F4D]
00595042 8985 26040000 MOV DWORD PTR SS:[EBP+426],EAX
00595048 8BF8 MOV EDI,EAX
0059504A 8D5D 5E LEA EBX,DWORD PTR SS:[EBP+5E]
0059504D 53 PUSH EBX
0059504E 50 PUSH EAX
005953B0 /75 08 JNZ SHORT WinsealX.005953BA //F8
005953B2 |B8 01000000 MOV EAX,1
005953B7 |C2 0C00 RETN 0C
005953BA \68 AC445200 PUSH WinsealX.005244AC
005953BF C3 RETN //返回
005953C0 8B85 26040000 MOV EAX,DWORD PTR SS:[EBP+426]
005953C6 8D8D 3B040000 LEA ECX,DWORD PTR SS:[EBP+43B]
005953CC 51 PUSH ECX
005953CD 50 PUSH EAX
005244AC 55 PUSH EBP //OEP
005244AD 8BEC MOV EBP,ESP
005244AF B9 05000000 MOV ECX,5
005244B4 6A 00 PUSH 0
005244B6 6A 00 PUSH 0
005244B8 49 DEC ECX
005244B9 ^ 75 F9 JNZ SHORT WinsealX.005244B4
005244BB 53 PUSH EBX
005244BC B8 3C415200 MOV EAX,WinsealX.0052413C
005244C1 E8 0622EEFF CALL WinsealX.004066CC
005244C6 33C0 XOR EAX,EAX
005244C8 55 PUSH EBP
005244C9 68 43475200 PUSH WinsealX.00524743
005244CE 64:FF30 PUSH DWORD PTR FS:[EAX]
005244D1 64:8920 MOV DWORD PTR FS:[EAX],ESP
005244D4 68 50475200 PUSH WinsealX.00524750 ; ASCII "WinsealXPCopy_V11.0.32"
005244D9 6A 00 PUSH 0
005244DB 68 01001F00 PUSH 1F0001
005244E0 E8 CB26EEFF CALL WinsealX.00406BB0 ; JMP 到 kernel32.OpenMutexA
见此,猜测应该是DELPHI写[不敢确认,经验太少]。可以脱了,先后用OD自带插件和LordPE分别脱了一下,然后用ImportREC_Fix修复,不知为什么,填入:1244AC 自动查找IAT,可能发现了原始的IAT地址。点击“获取输入表”输入表函数框中一片空白!!
关闭OD,启动原程序,获取输入表,输入表函数框中显示11个无效指针,等级1修复,剪切无效指针。修复。查壳:Borland Delphi 6.0 - 7.0,EP区段:CODE,程序无法运行。
提示:程序错误“0*77d3119b“指令引用的0*77d3119b“内存。该内存不能为“read”
高手指点一下!!!!!!!!
--------------------------------------------------------------------------------
【作者邮箱】 achangyq@yahoo.cn
【使用工具】 OD peid IR LordPE
【破解平台】 Win9x/NT/2000/XP
【软件名称】
【下载地址】 自己搜索下载
【加壳方式】 ASPack 2.12 -> Alexey Solodovnikov
【破解声明】 只是感兴趣,没有其他目的。
--------------------------------------------------------------------------------
【破解内容】
具体的流程如下:
1、查壳
拿起PEid,一看:ASPack 2.12 -> Alexey Solodovnikov EP区段:LHYPack
心想简单,不是那些变态的加密壳,呵!
用OD载入:
00595001 > 60 PUSHAD
00595002 E8 03000000 CALL WinsealX.0059500A //Esp定律
00595007 - E9 EB045D45 JMP 45B654F7
0059500C 55 PUSH EBP
0059500D C3 RETN
0059500E E8 01000000 CALL WinsealX.00595014
00595013 EB 5D JMP SHORT WinsealX.00595072
00595015 BB EDFFFFFF MOV EBX,-13
0059501A 03DD ADD EBX,EBP
0059501C 81EB 00501900 SUB EBX,195000
00595022 83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
00595029 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX
0059502F 0F85 65030000 JNZ WinsealX.0059539A
00595035 8D85 2E040000 LEA EAX,DWORD PTR SS:[EBP+42E]
0059503B 50 PUSH EAX
0059503C FF95 4D0F0000 CALL DWORD PTR SS:[EBP+F4D]
00595042 8985 26040000 MOV DWORD PTR SS:[EBP+426],EAX
00595048 8BF8 MOV EDI,EAX
0059504A 8D5D 5E LEA EBX,DWORD PTR SS:[EBP+5E]
0059504D 53 PUSH EBX
0059504E 50 PUSH EAX
005953B0 /75 08 JNZ SHORT WinsealX.005953BA //F8
005953B2 |B8 01000000 MOV EAX,1
005953B7 |C2 0C00 RETN 0C
005953BA \68 AC445200 PUSH WinsealX.005244AC
005953BF C3 RETN //返回
005953C0 8B85 26040000 MOV EAX,DWORD PTR SS:[EBP+426]
005953C6 8D8D 3B040000 LEA ECX,DWORD PTR SS:[EBP+43B]
005953CC 51 PUSH ECX
005953CD 50 PUSH EAX
005244AC 55 PUSH EBP //OEP
005244AD 8BEC MOV EBP,ESP
005244AF B9 05000000 MOV ECX,5
005244B4 6A 00 PUSH 0
005244B6 6A 00 PUSH 0
005244B8 49 DEC ECX
005244B9 ^ 75 F9 JNZ SHORT WinsealX.005244B4
005244BB 53 PUSH EBX
005244BC B8 3C415200 MOV EAX,WinsealX.0052413C
005244C1 E8 0622EEFF CALL WinsealX.004066CC
005244C6 33C0 XOR EAX,EAX
005244C8 55 PUSH EBP
005244C9 68 43475200 PUSH WinsealX.00524743
005244CE 64:FF30 PUSH DWORD PTR FS:[EAX]
005244D1 64:8920 MOV DWORD PTR FS:[EAX],ESP
005244D4 68 50475200 PUSH WinsealX.00524750 ; ASCII "WinsealXPCopy_V11.0.32"
005244D9 6A 00 PUSH 0
005244DB 68 01001F00 PUSH 1F0001
005244E0 E8 CB26EEFF CALL WinsealX.00406BB0 ; JMP 到 kernel32.OpenMutexA
见此,猜测应该是DELPHI写[不敢确认,经验太少]。可以脱了,先后用OD自带插件和LordPE分别脱了一下,然后用ImportREC_Fix修复,不知为什么,填入:1244AC 自动查找IAT,可能发现了原始的IAT地址。点击“获取输入表”输入表函数框中一片空白!!
关闭OD,启动原程序,获取输入表,输入表函数框中显示11个无效指针,等级1修复,剪切无效指针。修复。查壳:Borland Delphi 6.0 - 7.0,EP区段:CODE,程序无法运行。
提示:程序错误“0*77d3119b“指令引用的0*77d3119b“内存。该内存不能为“read”
高手指点一下!!!!!!!!
--------------------------------------------------------------------------------
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
