[求助]破解一个小软件脱壳完成不知道怎么下手了-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]破解一个小软件脱壳完成不知道怎么下手了

发表于: 2008-10-18 15:51 7664

[求助]破解一个小软件脱壳完成不知道怎么下手了

hattiehui

2008-10-18 15:51

7664

用PEiD查看此软件壳是ASPack,

于是我用WASPACK脱壳之后,再用PEiD查看,就是Borland Delphi,

我用OD打开些软件,让人难过的事情就出现了.首先是说"模块入口点在代码外部"

一下我就蒙了,我不知道怎么下手了,断点没办法设,希望高手指点我应该怎么做.
此软件http://219.146.177.251/xm/mhxm166.exe

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (33) 1 2 ▶
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 2 楼外挂！！没得搞！ 2008-10-18 16:14 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 3 楼为什么没的搞?能告诉我吗? 2008-10-18 16:19 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 4 楼我见过一个高手,5分钟就搞定了这个东西,晕 2008-10-18 16:22 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 5 楼很基础 OD运行起来 crtrl+G 找到 00F6802B /0F8C7D010000 JL 00F681AE NOP掉就可以免费登陆 2008-10-18 20:39 0
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 6 楼呵呵，哥们这很可能是脱壳没脱干净，还盛个小裤衩。 2008-10-18 22:19 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 7 楼五楼的高人,你的数值是从哪得到的?我在OD里面没找到呢? 六楼的高人,我是用ASP脱壳机,脱壳的,为什么脱不干净呢?5555555没脱干净我应该怎么办呢? 2008-10-18 22:56 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 8 楼还有,还有,五楼的哥哥,你用OD打开那个小软件,是脱过壳的还是没脱壳的呀? 2008-10-18 23:34 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 9 楼脱没脱都不碍事，OD载入 F9运行！然后查找上面的地址 2008-10-19 00:37 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 10 楼 peeler是好人,哈哈哈,看了你五楼说了一句话,让我奋斗到现在,因为你说这个很基础,我就一定要把这壳脱了,我终于把壳脱了,只是我怎么都找不到那个地址,00F6802B /0F8C7D010000 JL 00F681AE 我想知道怎么找到这地址的?我也crtrl+G查找了,就是查不到,可以再帮帮我吗? 2008-10-19 03:20 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 11 楼 CRTR+G 输入 00F6802B 只是输入这个地址而已你怎么把所有的都输入进去了 2008-10-19 10:51 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 12 楼高手哥哥还在吗?您看一下我用 00F6802B 查找还是不行 2008-10-19 11:24 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 13 楼也许你机器申请的内存地址和我机器不一样！运行起来程序下 bp MessageBoxA 断点！点登陆，断下后看堆栈，找返回 2008-10-19 11:28 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 14 楼太好了,Peeler真是大好人,要的就是你教我的方法,你给我地址,我找到,也没太大进步,谢谢你.你每次回我的帖都是对我的激励.谢谢你,不过这断点怎么下,我还不明白,嘿嘿~~~我先自己试试,不成再来请教 2008-10-19 11:34 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 15 楼 HOHO~~找到了,找到了,我在百度里找到结果了,发出来给和我一样的菜鸟学习 BP MessageBoxA是什么意思？ BP MessageBoxA是在MessageBoxA函数的首字节写入0xCC，即普通断点。 OD操作，使用带有CMDbar插件的OD可以直接在命令框里写入 BP MessageBoxA 然后回车确定。或者直接 Ctrl+G 填入 MessageBoxA 回车当前行F2 设个断点 : bp MessageBoxA 意思就是:当程序使用 MessageBoxA ，程序便会断下我接着整我的试验软件去,再次谢谢peeler 2008-10-19 12:01 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 16 楼 peeler哥哥我又来了,嘿嘿~~我照着您的方法做了,可是堆栈里出来三个返回,我有点整不明白,想找您确认一下,您请看: 2008-10-19 12:21 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 17 楼同是菜菜啊! 我还知道 CTRL+G里面是放地址开来我相对你来说,还强点.:) 2008-10-19 17:08 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 18 楼到了这步之后我就无从下手了, 2008-10-19 18:12 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 19 楼标志着 SE处理上面的那个返回，然后往上找就找到我说的那个跳转，我记得好像是，昨天调试的记忆不是很清楚了 2008-10-19 18:15 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 20 楼是找0164F140 7C812A5B 返回到 kernel32.7C812A5B 来自 00380000 里面的kernel32.7C812A5B 还是00380000这个地址?我有反汇编区找到00380000 就上不去了,还要再麻烦你一下,先谢谢peelers哥哥 2008-10-19 18:26 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 21 楼我觉得和你说不清楚看演示吧：演示教程.rar 2008-10-19 19:09 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 22 楼 HOHO~~~太感谢peeler啦.有教程我就能进步更快啦,哈哈~~~谢谢你对我的帮助. 2008-10-19 19:34 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 23 楼 peeler哥哥~~~~你的教程非常好,你的手法太熟练了,只有一个字能表达"帅,太帅啦"你就是我的偶像!!!不过我有个不情之请,我能用上你那个专业修改版的OD吗? 2008-10-19 22:46 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 24 楼事实上,我到现在还没搞定,我也不知道哪里不对,是我的OD有问题吗?越看越乱 2008-10-20 00:17 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 25 楼 peeler偶像,到现在我看了你的演示教程N遍,只看到你找到了那个 00F6802B /0F8C7D010000 JL 00F681AE 别的啥都没明白,您能给我说明一下吗? 首先,从这一步您是因为什么而找到 0012FA80 \|00F681B7 返回到 00F681B7 来自 00F6987C 0012FA84 \|0012FC78 指向下一个 SEH 记录的指针 0012FA88 \|00F6826F SE处理程序从这里的"反汇编窗口中跟随"只能提示到图中最长的黄条,可因为什么找到"00F6802B /0F8C7D010000 JL 00F681AE"的呢,能麻烦您给我讲讲吗? 2008-10-20 01:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hattiehui

发帖

回帖

RANK

关注

私信

他的文章

[求助]破解一个小软件脱壳完成不知道怎么下手了 7665

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 2 楼外挂！！没得搞！ 2008-10-18 16:14 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 3 楼为什么没的搞?能告诉我吗? 2008-10-18 16:19 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 4 楼我见过一个高手,5分钟就搞定了这个东西,晕 2008-10-18 16:22 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 5 楼很基础 OD运行起来 crtrl+G 找到 00F6802B /0F8C7D010000 JL 00F681AE NOP掉就可以免费登陆 2008-10-18 20:39 0
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 6 楼呵呵，哥们这很可能是脱壳没脱干净，还盛个小裤衩。 2008-10-18 22:19 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 7 楼五楼的高人,你的数值是从哪得到的?我在OD里面没找到呢? 六楼的高人,我是用ASP脱壳机,脱壳的,为什么脱不干净呢?5555555没脱干净我应该怎么办呢? 2008-10-18 22:56 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 8 楼还有,还有,五楼的哥哥,你用OD打开那个小软件,是脱过壳的还是没脱壳的呀? 2008-10-18 23:34 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 9 楼脱没脱都不碍事，OD载入 F9运行！然后查找上面的地址 2008-10-19 00:37 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 10 楼 peeler是好人,哈哈哈,看了你五楼说了一句话,让我奋斗到现在,因为你说这个很基础,我就一定要把这壳脱了,我终于把壳脱了,只是我怎么都找不到那个地址,00F6802B /0F8C7D010000 JL 00F681AE 我想知道怎么找到这地址的?我也crtrl+G查找了,就是查不到,可以再帮帮我吗? 2008-10-19 03:20 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 11 楼 CRTR+G 输入 00F6802B 只是输入这个地址而已你怎么把所有的都输入进去了 2008-10-19 10:51 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 12 楼高手哥哥还在吗?您看一下我用 00F6802B 查找还是不行 2008-10-19 11:24 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 13 楼也许你机器申请的内存地址和我机器不一样！运行起来程序下 bp MessageBoxA 断点！点登陆，断下后看堆栈，找返回 2008-10-19 11:28 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 14 楼太好了,Peeler真是大好人,要的就是你教我的方法,你给我地址,我找到,也没太大进步,谢谢你.你每次回我的帖都是对我的激励.谢谢你,不过这断点怎么下,我还不明白,嘿嘿~~~我先自己试试,不成再来请教 2008-10-19 11:34 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 15 楼 HOHO~~找到了,找到了,我在百度里找到结果了,发出来给和我一样的菜鸟学习 BP MessageBoxA是什么意思？ BP MessageBoxA是在MessageBoxA函数的首字节写入0xCC，即普通断点。 OD操作，使用带有CMDbar插件的OD可以直接在命令框里写入 BP MessageBoxA 然后回车确定。或者直接 Ctrl+G 填入 MessageBoxA 回车当前行F2 设个断点 : bp MessageBoxA 意思就是:当程序使用 MessageBoxA ，程序便会断下我接着整我的试验软件去,再次谢谢peeler 2008-10-19 12:01 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 16 楼 peeler哥哥我又来了,嘿嘿~~我照着您的方法做了,可是堆栈里出来三个返回,我有点整不明白,想找您确认一下,您请看: 2008-10-19 12:21 0
cuuby 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	cuuby 17 楼同是菜菜啊! 我还知道 CTRL+G里面是放地址开来我相对你来说,还强点.:) 2008-10-19 17:08 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 18 楼到了这步之后我就无从下手了, 2008-10-19 18:12 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 19 楼标志着 SE处理上面的那个返回，然后往上找就找到我说的那个跳转，我记得好像是，昨天调试的记忆不是很清楚了 2008-10-19 18:15 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 20 楼是找0164F140 7C812A5B 返回到 kernel32.7C812A5B 来自 00380000 里面的kernel32.7C812A5B 还是00380000这个地址?我有反汇编区找到00380000 就上不去了,还要再麻烦你一下,先谢谢peelers哥哥 2008-10-19 18:26 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 21 楼我觉得和你说不清楚看演示吧：演示教程.rar 2008-10-19 19:09 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 22 楼 HOHO~~~太感谢peeler啦.有教程我就能进步更快啦,哈哈~~~谢谢你对我的帮助. 2008-10-19 19:34 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 23 楼 peeler哥哥~~~~你的教程非常好,你的手法太熟练了,只有一个字能表达"帅,太帅啦"你就是我的偶像!!!不过我有个不情之请,我能用上你那个专业修改版的OD吗? 2008-10-19 22:46 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 24 楼事实上,我到现在还没搞定,我也不知道哪里不对,是我的OD有问题吗?越看越乱 2008-10-20 00:17 0
hattiehui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	hattiehui 25 楼 peeler偶像,到现在我看了你的演示教程N遍,只看到你找到了那个 00F6802B /0F8C7D010000 JL 00F681AE 别的啥都没明白,您能给我说明一下吗? 首先,从这一步您是因为什么而找到 0012FA80 \|00F681B7 返回到 00F681B7 来自 00F6987C 0012FA84 \|0012FC78 指向下一个 SEH 记录的指针 0012FA88 \|00F6826F SE处理程序从这里的"反汇编窗口中跟随"只能提示到图中最长的黄条,可因为什么找到"00F6802B /0F8C7D010000 JL 00F681AE"的呢,能麻烦您给我讲讲吗? 2008-10-20 01:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]破解一个小软件脱壳完成 不知道怎么下手了

[求助]破解一个小软件脱壳完成不知道怎么下手了