我的一名菜鸟,按照论坛里的一位兄弟发的方法脱壳
破解对象:双色球大赢家V3.06
破解工具:Ollydbg v1.1汉化版(包含各种插件),PEiD(测出什么壳的软件),Import REConstructor1.7C 汉化版
开始:
首先用PEiD测出软件是用ASPack 2.12 -> Alexey Solodovnikov加的壳
接下来就开始脱壳
第一步:用Ollydbg装载要脱壳的软件,装载中会出现个对话框,装载中会出现三个对话框,第一个,第二个按‘确定’
第三个按‘否’
第二步:按 Ctrl+B键 或者 右键→搜索→二进制字符 在HEX +03框中输入ASPack壳的各版本通用
特征代码 61 75 08 后按确定程序会停在入口附近。
注意下面一行跳转代码 JNZ SHORT 把光标移到这行代码上,然后设置断点,按F2或者
右键→断点→切换,此时会出来一个对话框选 ‘YES’。这样,断点就设置好了
第三步:按一下F9键运行程序,程序会被暂停住,然后按几次F8键单步跳过(我这里大概按了4次),就会来到入口点(一般入口点的代码特征是:55 PUSH EBP)
第四步:按菜单上面插件→OllyDump→转存调试进程 ,出来对话框按一下
‘获取EIP作为OEP’在按转存,(注意记住OEP的地址,下面还要用到的,本例入
口点的地址是2D92F8) 。保存文件名为DUMP.EXE。然后就OK了,关掉OllyDbg,
运行保存的文件看看会怎么样?
第五步:我们发现刚刚保存出来的文件不能运行,提示出现错误。
因为通常这个时候软件的IAT表还没有修复,所以就有可能会出错,下面我们就来修复IAT表,以保证程序的完美性。
先运行未脱壳的那个文件,然后再运行Import REConstructor,‘在选择一个使用中的程序’的下拉列表中选择
未脱壳文件的进程,这里是SSQDYJ.exe。然后在左下角OEP文本框里填入刚刚记下来
的入口地址2D92F8后,先按‘IAT 自动搜索’按钮后出来一个对话框,意思是找到IAT表的地址,
点确定,然后在按‘获得输入信息’按钮后‘找到的输入函数’框中显示DLL文件修复的结果,
发现所有的DLL后面都出现‘是’后表示修复成功。成功后按‘修理抓取文件’
按钮选刚刚转寸出来的文件DUMP.EXE后就成功了,文件名为DUMP_.EXE就是修复以后的文件了
现在。这应该算是脱壳成功了吧!!!
可是,可是,当我运行脱壳文件DUMP_.EXE时,确提示我“inieditor.dll没有找到,未能启动,重新安装应用程序修复此问题“,
求助,哪位大虾帮助小菜鸟解决一下此问题。。。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
