[求助]这个程序被加壳了但测不出来，哪位侠客能给我点提示，-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]这个程序被加壳了但测不出来，哪位侠客能给我点提示，

发表于: 2009-1-20 22:55 11828

[求助]这个程序被加壳了但测不出来，哪位侠客能给我点提示，

xiangding

2009-1-20 22:55

11828

工作多年，一直在学习crack,C++功底比较好，也买了看雪论坛的几本书看过了，有爆破过一些crack me，前天在网上下载了一个共享软件，想爆破它，奇怪的是用OD打开它，OD就自动关闭了，，用Pediy测壳，提示：什么也找不着 *。

这下把我难住了，我汇编还行，爆破不成问题，可是不知道它是用什么加壳的，哪位能提示一下，怎么样手动脱掉这个壳？。过年不回家，一直在这里学习crack，希望和大家交流。

用OD打开它为什么OD自动关闭呢，按理来讲，OD打开应该不成问题，至少应该是运行它的时候才有可能出错呀，

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

king1.12.part1.rar （0.00kb，19次下载）
king1.12.part2.rar （0.00kb，54次下载）

收藏・1

免费・0

支持

最新回复 (18)
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 2 楼这个软件比较大，有1.8M，所以分开上传成两部分了， 2009-1-20 22:56 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 3 楼又是个外挂。按键精灵制作的东西？不知道啥壳，OD 2.0 倒是可以调试，不过F9跑的话会跳出个检测到调试器的对话框。估计又是利用了 OD 1.1 的啥漏洞。 2009-1-21 00:16 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 4 楼静态的调试和动态调试比较的话，静态的快。 2009-1-21 01:27 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 5 楼 “工作多年，一直在学习crack,C++功底比较好” “我汇编还行” 多年一直在学CRACK，还在玩爆破，遇到OD自动关闭，不知道有ANTI。我才接触没几个月，难道多年以后我也会是这样？楼主说的是真话，假话？希望楼主说的是假话~ 2009-1-21 11:41 0
cdycdy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 65 粉丝 0 关注私信	cdycdy 6 楼可能是老王的壳！ 2009-1-21 13:56 0
Ekof[CZ] 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	Ekof[CZ] 7 楼看了看，不知道行不行反正把它给爆了呵呵，用静态汇编工具打开它直接到0040A81A，将74更改为75 我乱注册，它也不报错，不知道有没有启来，看样子还是会往下走的ＬＺ有兴趣可以试试你自己也可以研究一下 2009-1-21 17:12 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 8 楼维埃母匹克，是不是正版的就不知道，嘎嘎 2009-1-21 20:23 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 9 楼回5楼的朋友：我从04年开始接触crack，但都是断断续续的，07年基本上没进展，因为遇到一个难点有时候搞不定的时候，又停在那里了。大部分是因为项目紧，或者自已放松了对自已的要求。所以，还是菜鸟一个，不好意思。真正花在crack上的学习时间估计只有半年左右。 2009-1-21 22:01 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 10 楼 [QUOTE='Ekof[CZ];568205']看了看，不知道行不行反正把它给爆了呵呵，用静态汇编工具打开它直接到0040A81A，将74更改为75 我乱注册，它也不报错，不知道有没有启来，看样子还是会往下走的ＬＺ有兴趣可以试试你自己也可以研究一下[/QUOTE] 谢谢Ekof的提示，但我的目的是想懂原理，你说的：直接到0040A81A，将74更改为75 1.为什么是跳到：0040A81A这里呢，你是怎么找到这个地址的。74改75的意思我明白。 2. 我还是想脱掉这个壳，现在正在看一下脱壳部分的书，希望在这里也能有朋友帮忙提示一下。以前有手脱过UPX的壳，但现在这个壳好像很强。。。 3.OD1.1无法调试，这是加壳软件提供的功能？还是程序作者写的什么东东？ 2009-1-21 22:04 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 11 楼请问老王的壳的加壳软件的全称叫什么名称？我想加壳一个软件试试，看中间有没有相类似的地方， 2009-1-21 22:06 0
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 12 楼貌似在Taskcn见过这个任务…… 打开会退出是因为OD 1.1的DBGHELP.DLL有溢出漏洞，你用WinDbg目录下的DBGHELP.DLL覆盖掉OD原有的DBGHELP.DLL就可以了。 2009-1-21 22:07 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 13 楼 CCDebuger老大：请问你遇到这样的壳一般会怎么继续？我想了解手壳的方法，请指点。 2009-1-21 22:24 0
jivi 雪币： 226 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 40 粉丝 0 关注私信	jivi 3 14 楼用附件中的 dbghelp.dll 替换掉OD根目录里的同名文件上传的附件： dbghelp.rar （374.58kb，77次下载） 2009-1-21 23:41 0
wjesnbvp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wjesnbvp 15 楼可能是Themida 1.8.x.x - 1.9.x.x的壳 2009-1-27 21:32 0
zuojiakai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zuojiakai 16 楼应该是那个什么什么隐藏器. 穿山甲的变态功能? 2009-1-28 12:27 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 17 楼谢谢这位兄弟提供的dbghelp.dll，现在我用OD打开可以，但想调试时，提示： A debugger has been found running in your system. please, unload it from memory and restart your program. 看来必须要先脱之才能调试了。 2009-1-29 13:01 0
panpanpan 雪币： 161 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 0 关注私信	panpanpan 18 楼我没下，但我估计是peb3.2+VM的，PE脱了VM也脱不了，真的 2009-9-26 04:35 0
panpanpan 雪币： 161 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 0 关注私信	panpanpan 19 楼我没下，但我估计是peb3.2+VM的，PE脱了VM也脱不了，真的补充下，现在的小精灵几乎这样的外壳有可能不是，但新的按键内壳肯定是VM 2009-9-26 04:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xiangding

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 2 楼这个软件比较大，有1.8M，所以分开上传成两部分了， 2009-1-20 22:56 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 3 楼又是个外挂。按键精灵制作的东西？不知道啥壳，OD 2.0 倒是可以调试，不过F9跑的话会跳出个检测到调试器的对话框。估计又是利用了 OD 1.1 的啥漏洞。 2009-1-21 00:16 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 4 楼静态的调试和动态调试比较的话，静态的快。 2009-1-21 01:27 0
Ella 雪币： 564 活跃值： (12) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 225 粉丝 0 关注私信	Ella 1 5 楼 “工作多年，一直在学习crack,C++功底比较好” “我汇编还行” 多年一直在学CRACK，还在玩爆破，遇到OD自动关闭，不知道有ANTI。我才接触没几个月，难道多年以后我也会是这样？楼主说的是真话，假话？希望楼主说的是假话~ 2009-1-21 11:41 0
cdycdy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 65 粉丝 0 关注私信	cdycdy 6 楼可能是老王的壳！ 2009-1-21 13:56 0
Ekof[CZ] 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	Ekof[CZ] 7 楼看了看，不知道行不行反正把它给爆了呵呵，用静态汇编工具打开它直接到0040A81A，将74更改为75 我乱注册，它也不报错，不知道有没有启来，看样子还是会往下走的ＬＺ有兴趣可以试试你自己也可以研究一下 2009-1-21 17:12 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 8 楼维埃母匹克，是不是正版的就不知道，嘎嘎 2009-1-21 20:23 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 9 楼回5楼的朋友：我从04年开始接触crack，但都是断断续续的，07年基本上没进展，因为遇到一个难点有时候搞不定的时候，又停在那里了。大部分是因为项目紧，或者自已放松了对自已的要求。所以，还是菜鸟一个，不好意思。真正花在crack上的学习时间估计只有半年左右。 2009-1-21 22:01 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 10 楼 [QUOTE='Ekof[CZ];568205']看了看，不知道行不行反正把它给爆了呵呵，用静态汇编工具打开它直接到0040A81A，将74更改为75 我乱注册，它也不报错，不知道有没有启来，看样子还是会往下走的ＬＺ有兴趣可以试试你自己也可以研究一下[/QUOTE] 谢谢Ekof的提示，但我的目的是想懂原理，你说的：直接到0040A81A，将74更改为75 1.为什么是跳到：0040A81A这里呢，你是怎么找到这个地址的。74改75的意思我明白。 2. 我还是想脱掉这个壳，现在正在看一下脱壳部分的书，希望在这里也能有朋友帮忙提示一下。以前有手脱过UPX的壳，但现在这个壳好像很强。。。 3.OD1.1无法调试，这是加壳软件提供的功能？还是程序作者写的什么东东？ 2009-1-21 22:04 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 11 楼请问老王的壳的加壳软件的全称叫什么名称？我想加壳一个软件试试，看中间有没有相类似的地方， 2009-1-21 22:06 0
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 12 楼貌似在Taskcn见过这个任务…… 打开会退出是因为OD 1.1的DBGHELP.DLL有溢出漏洞，你用WinDbg目录下的DBGHELP.DLL覆盖掉OD原有的DBGHELP.DLL就可以了。 2009-1-21 22:07 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 13 楼 CCDebuger老大：请问你遇到这样的壳一般会怎么继续？我想了解手壳的方法，请指点。 2009-1-21 22:24 0
jivi 雪币： 226 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 40 粉丝 0 关注私信	jivi 3 14 楼用附件中的 dbghelp.dll 替换掉OD根目录里的同名文件上传的附件： dbghelp.rar （374.58kb，77次下载） 2009-1-21 23:41 0
wjesnbvp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wjesnbvp 15 楼可能是Themida 1.8.x.x - 1.9.x.x的壳 2009-1-27 21:32 0
zuojiakai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zuojiakai 16 楼应该是那个什么什么隐藏器. 穿山甲的变态功能? 2009-1-28 12:27 0
xiangding 雪币： 194 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 92 粉丝 0 关注私信	xiangding 17 楼谢谢这位兄弟提供的dbghelp.dll，现在我用OD打开可以，但想调试时，提示： A debugger has been found running in your system. please, unload it from memory and restart your program. 看来必须要先脱之才能调试了。 2009-1-29 13:01 0
panpanpan 雪币： 161 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 0 关注私信	panpanpan 18 楼我没下，但我估计是peb3.2+VM的，PE脱了VM也脱不了，真的 2009-9-26 04:35 0
panpanpan 雪币： 161 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 0 关注私信	panpanpan 19 楼我没下，但我估计是peb3.2+VM的，PE脱了VM也脱不了，真的补充下，现在的小精灵几乎这样的外壳有可能不是，但新的按键内壳肯定是VM 2009-9-26 04:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复