首页
社区
课程
招聘
[求助]破解一个小软件脱壳完成 不知道怎么下手了
发表于: 2008-10-18 15:51 7705

[求助]破解一个小软件脱壳完成 不知道怎么下手了

2008-10-18 15:51
7705
用PEiD查看此软件壳是ASPack,

于是我用WASPACK脱壳之后,再用PEiD查看,就是Borland Delphi,

我用OD打开些软件,让人难过的事情就出现了.首先是说"模块入口点在代码外部"

一下我就蒙了,我不知道怎么下手了,断点没办法设,希望高手指点我应该怎么做.
此软件http://219.146.177.251/xm/mhxm166.exe

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (33)
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
2
外挂!!没得搞!
2008-10-18 16:14
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
为什么没的搞?能告诉我吗?
2008-10-18 16:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我见过一个高手,5分钟就搞定了这个东西,晕
2008-10-18 16:22
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
很基础

OD运行起来  crtrl+G 找到

00F6802B   /0F8C7D010000   JL 00F681AE

NOP掉就可以免费登陆
2008-10-18 20:39
0
雪    币: 123
活跃值: (95)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
6
呵呵,哥们这很可能是脱壳没脱干净,还盛个小裤衩。
2008-10-18 22:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
五楼的高人,你的数值是从哪得到的?我在OD里面没找到呢?
六楼的高人,我是用ASP脱壳机,脱壳的,为什么脱不干净呢?5555555没脱干净我应该怎么办呢?
2008-10-18 22:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
还有,还有,五楼的哥哥,你用OD打开那个小软件,是脱过壳的还是没脱壳的呀?
2008-10-18 23:34
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
脱没脱都不碍事,OD载入 F9运行!然后查找上面的地址
2008-10-19 00:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
peeler是好人,哈哈哈,看了你五楼说了一句话,让我奋斗到现在,因为你说这个很基础,我就一定要把这壳脱了,我终于把壳脱了,只是我怎么都找不到那个地址,00F6802B   /0F8C7D010000   JL 00F681AE
我想知道怎么找到这地址的?我也crtrl+G查找了,就是查不到,可以再帮帮我吗?

2008-10-19 03:20
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
CRTR+G 输入 00F6802B 只是输入这个地址而已 你怎么把所有的都输入进去了
2008-10-19 10:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
高手哥哥还在吗?您看一下我用 00F6802B 查找还是不行
2008-10-19 11:24
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
也许你机器申请的内存地址和我机器不一样!

运行起来程序下 bp MessageBoxA 断点!

点登陆,断下后看堆栈,找返回
2008-10-19 11:28
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
太好了,Peeler真是大好人,要的就是你教我的方法,你给我地址,我找到,也没太大进步,谢谢你.你每次回我的帖都是对我的激励.谢谢你,不过这断点怎么下,我还不明白,嘿嘿~~~我先自己试试,不成再来请教
2008-10-19 11:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
HOHO~~找到了,找到了,我在百度里找到结果了,发出来给和我一样的菜鸟学习

BP MessageBoxA是什么意思?
BP MessageBoxA是在MessageBoxA函数的首字节写入0xCC,即普通断点。

OD操作,使用带有CMDbar插件的OD可以直接在命令框里写入 BP MessageBoxA 然后回车确定。

或者直接
Ctrl+G
填入 MessageBoxA
回车
当前行F2
设个断点 : bp MessageBoxA

意思就是:当程序使用 MessageBoxA ,程序便会断下



我接着整我的试验软件去,再次谢谢peeler
2008-10-19 12:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
peeler哥哥我又来了,嘿嘿~~我照着您的方法做了,可是 堆栈 里出来三个返回,我有点整不明白,想找您确认一下,您请看:
2008-10-19 12:21
0
雪    币: 199
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
同是菜菜啊!

我还知道 CTRL+G里面是放地址

开来我相对你来说,还强点.:)
2008-10-19 17:08
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
到了这步之后我就无从下手了,
2008-10-19 18:12
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
标志着 SE处理 上面的那个返回,然后往上找 就找到 我说的那个跳转,

我记得好像是,昨天调试的记忆不是很清楚了
2008-10-19 18:15
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
是找0164F140   7C812A5B  返回到 kernel32.7C812A5B 来自 00380000

里面的kernel32.7C812A5B 还是00380000这个地址?我有反汇编区找到00380000
就上不去了,还要再麻烦你一下,先谢谢peelers哥哥
2008-10-19 18:26
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
我觉得和你说不清楚

看演示吧:

演示教程.rar
2008-10-19 19:09
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
HOHO~~~太感谢peeler啦.有教程我就能进步更快啦,哈哈~~~谢谢你对我的帮助.
2008-10-19 19:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
peeler哥哥~~~~你的教程非常好,你的手法太熟练了,只有一个字能表达"帅,太帅啦"你就是我的偶像!!!不过我有个不情之请,我能用上你那个专业修改版的OD吗?
2008-10-19 22:46
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
事实上,我到现在还没搞定,我也不知道哪里不对,是我的OD有问题吗?越看越乱
2008-10-20 00:17
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
peeler偶像,到现在我看了你的演示教程N遍,只看到你找到了那个
00F6802B   /0F8C7D010000   JL 00F681AE
别的啥都没明白,您能给我说明一下吗?
首先,从这一步

您是因为什么而找到
0012FA80  |00F681B7  返回到 00F681B7 来自 00F6987C
0012FA84  |0012FC78  指向下一个 SEH 记录的指针
0012FA88  |00F6826F  SE处理程序

从这里的"反汇编窗口中跟随"只能提示到

图中最长的黄条,可因为什么找到"00F6802B   /0F8C7D010000   JL 00F681AE"的呢,能麻烦您给我讲讲吗?
2008-10-20 01:45
0
游客
登录 | 注册 方可回帖
返回
//