最初由 nig 发布
Rockey 4的狗壳只要有狗,1000%可以完全脱掉,而且极其简单,手动给值或在有返回值中给出都可以,之后直接脱壳就可以了。
有狗,那就相当于你已经有了60%的把握可以完美解决掉它了。
是*.exe的!能说得具体点吗?谢谢了!
018F12F4 6A 08 push 8
018F12F6 E8 B5050000 call 加密锁.018F18B0
018F12FB 83C4 24 add esp,24
018F12FE 25 FFFF0000 and eax,0FFFF
018F1303 85C0 test eax,eax
018F1305 74 05 je short 加密锁.018F130C
018F1307 E9 00020000 jmp 加密锁.018F150C
018F130C 66:8B55 E8 mov dx,word ptr ss:[ebp-18] ; 这里有四个循环返回值
018F1310 66:8955 BC mov word ptr ss:[ebp-44],dx
018F1314 66:8B45 E0 mov ax,word ptr ss:[ebp-20]
018F1318 66:8945 BE mov word ptr ss:[ebp-42],ax
018F131C 66:8B4D D4 mov cx,word ptr ss:[ebp-2C]
018F1320 66:894D C0 mov word ptr ss:[ebp-40],cx
018F1324 66:8B55 B4 mov dx,word ptr ss:[ebp-4C]
018F1328 66:8955 C2 mov word ptr ss:[ebp-3E],dx
018F132C 8B45 FC mov eax,dword ptr ss:[ebp-4]
018F132F 8B48 12 mov ecx,dword ptr ds:[eax+12]
018F1332 8B55 AC mov edx,dword ptr ss:[ebp-54]
018F1335 030A add ecx,dword ptr ds:[edx]
018F1337 894D F4 mov dword ptr ss:[ebp-C],ecx
018F133A C745 D8 000>mov dword ptr ss:[ebp-28],0
.................................略过!
018F14F9 ^\72 DF jb short 加密锁.018F14DA
018F14FB 8B83 EA0400>mov eax,dword ptr ds:[ebx+4EA]
018F1501 0343 12 add eax,dword ptr ds:[ebx+12]
018F1504 5F pop edi
018F1505 5E pop esi
018F1506 5B pop ebx
018F1507 8BE5 mov esp,ebp
018F1509 5D pop ebp
018F150A FFE0 jmp eax ; 解码正确EAX是程序入口地址
进入JMP EAX后就可以把狗拔出,可正确运行