-
-
[原创]新手教程:CRYPToCRACk's PE Protector V0.9.3 -> Lukas Fleischer
-
2008-8-26 20:01
9125
-
[原创]新手教程:CRYPToCRACk's PE Protector V0.9.3 -> Lukas Fleischer
【文章作者】: [UnPacKcN]XuZhenG
【作者邮箱】: [EMAIL="xuzheng1111@126.com"]xuzheng1111@126.com[/EMAIL]
【作者主页】:
http://hi.baidu.com/xuzheng1111
http://xz.bee.pl
【软件名称】: Notepad.exe
【下载地址】: 附件下载
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
如有人将此用入商业用途,给作者造成损失本人概不负责。
--------------------------------------------------------------------------------
【详细过程】
CryptO 0.93 可以算是一个最简单的保护壳
保护方式有:
IAT加密
这个壳因为强度不高,而且使用面也不够广,所以不是很有名。
本来不打算发上来的,
但是既然有这么一个方便新手的论坛,我举双手赞成,支持下发上来。我在什么都不会的时候就走了很多弯路,希望以后的人能比我更顺利吧。OD载入...
首先设置忽略所有异常。
==避开IAT加密===
1.Ctrl + B 搜索
5A 59 5B 8B 7C 24 04 89 3C 8A
2.将下面最后一行修改成
mov dword ptr ds:[edx+ecx*4],eax
00413331 5A pop edx
00413332 59 pop ecx
00413333 5B pop ebx
00413334 8B7C24 04 mov edi,dword ptr ss:[esp+4]
00413338 893C8A mov dword ptr ds:[edx+ecx*4],edi ; ☆ edi => eax
; edi存储的是加密Call的地址 而eax存储的是正确的IAT地址
== 寻找OEP ==
3.找OEP的方法:
内存镜像法 当然还有其它的 比如SFX法==...
Alt + M
然后在资源段 F2 -> Shift + F9
再到 代码段 F2 -> Shift + F9到OEP
==LoadPE & ImportREC
4.脱壳修复即可
[简单总结]
这个脱壳方法的优点就是脱壳后可以进行大幅优化...请看我脱壳文件后的大小...
脱壳前 :78KB
脱壳后 :62.5KBPS: 因为很简单,所以我就不写学习笔记了,新手可以对照我的脱壳过程自己研究学习...
这是我脱壳的...
[培训]内核驱动高级班,冲击BAT一流互联网大厂工
作,每周日13:00-18:00直播授课