【脱文标题】三次内存断点法脱不知名壳

【脱文作者】 lfsx
【使用工具】 Ollydbg,LoadPe,Imprec1.42,
【破解平台】 WinXP
【软件名称】 《猪病通*版》
【下载地址】 网上自己找
【软件简介】 《猪病通*版》计算机软件是由农业部饲料工业中心、北京广胜丰联信息技术有限公司的专家合作研究的新一代智能型兽医临床诊断软件，系统采用了现代计量医学的研究成果，应用概率统计的方法，如最大似然法、逐步判别法和聚类分析法等，其主要诊断原理是通过对兽医临床诊断的大量样本、专家经验和书本知识对疾病信息和症状信息进行分值计量定义，找出症状与疾病之间的统计规律，确定出经验公式，然后根据对这些症状信息的统计处理而得出诊断结果。
【软件大小】 23MB
【加壳方式】不知，
【脱壳声明】 我是一只小菜鸟，偶得一点心得，愿与大家分享：）
OD载入后停在这里
0082420C >  55              PUSH EBP      //停在这里
0082420D    8BEC            MOV EBP,ESP
0082420F    B9 0E000000     MOV ECX,0E
00824214    6A 00           PUSH 0
00824216    6A 00           PUSH 0
00824218    49              DEC ECX
00824219  ^ 75 F9           JNZ SHORT flDiagS.00824214
0082421B    51              PUSH ECX
0082421C    53              PUSH EBX
0082421D    56              PUSH ESI
0082421E    57              PUSH EDI
0082421F    B8 74418200     MOV EAX,flDiagS.00824174
00824224    90              NOP
00824225    90              NOP
00824226    90              NOP
00824227    90              NOP
00824228    90              NOP
00824229    33C0            XOR EAX,EAX
忽略全部异常，
内存镜像，项目 20
地址=00401000
大小=002B8000 (2850816.)
Owner=flDiagS  00400000
区段=CODE
包含=code             //对code段下内存访问断点。
类型=Imag 01001002
访问=R
初始访问=RWE
F9运行
00814705    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>  //停在这里
00814707    89C1            MOV ECX,EAX
00814709    83E1 03         AND ECX,3
0081470C    83C6 03         ADD ESI,3
0081470F    83C7 03         ADD EDI,3
00814712    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
00814714    FC              CLD
00814715    5F              POP EDI
00814716    5E              POP ESI
00814717    C3              RETN
00814718    53              PUSH EBX
00814719    56              PUSH ESI
0081471A    81C4 04F0FFFF   ADD ESP,-0FFC
00814720    50              PUSH EAX
00814721    8BF2            MOV ESI,EDX
00814723    8BD8            MOV EBX,EAX
00814725    EB 01           JMP SHORT flDiagS.00814728
00814727    43              INC EBX
00814728    8A03            MOV AL,BYTE PTR DS:[EBX]
0081472A    84C0            TEST AL,AL
0081472C    74 04           JE SHORT flDiagS.00814732
0081472E    3C 20           CMP AL,20
00814730  ^ 76 F5           JBE SHORT flDiagS.00814727
00814732    803B 22         CMP BYTE PTR DS:[EBX],22
00814735    75 0B           JNZ SHORT flDiagS.00814742
00814737    807B 01 22      CMP BYTE PTR DS:[EBX+1],22
0081473B    75 05           JNZ SHORT flDiagS.00814742
0081473D    83C3 02         ADD EBX,2
内存镜像，项目 19   
地址=00400000
大小=00001000 (4096.)
Owner=flDiagS  00400000 (itself)
区段=
包含=PE header                  //对他下内存访问断点  
类型=Imag 01001002
访问=R
初始访问=RWE。
F9运行
00824A66    8B78 3C         MOV EDI,DWORD PTR DS:[EAX+3C]  //停在这里
00824A69    033D 64868200   ADD EDI,DWORD PTR DS:[828664]            ; flDiagS.00400000
00824A6F    8B47 50         MOV EAX,DWORD PTR DS:[EDI+50]
00824A72    A3 98868200     MOV DWORD PTR DS:[828698],EAX
00824A77    A1 88768200     MOV EAX,DWORD PTR DS:[827688]
00824A7C    E8 1BDCFFFF     CALL flDiagS.0082269C
00824A81    8BD8            MOV EBX,EAX
00824A83    8BC3            MOV EAX,EBX
00824A85    E8 AEF5FFFF     CALL flDiagS.00824038
00824A8A    84C0            TEST AL,AL
00824A8C    0F84 06040000   JE flDiagS.00824E98
00824A92    E8 41DAFFFF     CALL flDiagS.008224D8
00824A97    A1 90768200     MOV EAX,DWORD PTR DS:[827690]
00824A9C    E8 FBDBFFFF     CALL flDiagS.0082269C
00824AA1    8BD8            MOV EBX,EAX
00824AA3    833D D8788200 0>CMP DWORD PTR DS:[8278D8],0
00824AAA    76 07           JBE SHORT flDiagS.00824AB3
00824AAC    8BC3            MOV EAX,EBX
00824AAE    E8 59F4FFFF     CALL flDiagS.00823F0C
00824AB3    A1 94768200     MOV EAX,DWORD PTR DS:[827694]
00824AB8    833D DC788200 0>CMP DWORD PTR DS:[8278DC],0
00824ABF    76 30           JBE SHORT flDiagS.00824AF1
00824AC1    8BD3            MOV EDX,EBX
00824AC3    B9 01000000     MOV ECX,1
00824AC8    92              XCHG EAX,EDX
内存镜像，项目 23
地址=00401000
大小=002B8000 (2850816.)
Owner=flDiagS  00400000
区段=CODE
包含=code             // 对code段下内存访问断点
类型=Imag 01001002
访问=R
初始访问=RWE
F9运行
006B8D30    55              PUSH EBP                    //OEP
006B8D31    8BEC            MOV EBP,ESP
006B8D33    83C4 F0         ADD ESP,-10
006B8D36    53              PUSH EBX
006B8D37    B8 B0806B00     MOV EAX,flDiagS.006B80B0
006B8D3C    E8 E3DCD4FF     CALL flDiagS.00406A24
006B8D41    8B1D DCDE6B00   MOV EBX,DWORD PTR DS:[6BDEDC]            ; flDiagS.006BFC14
006B8D47    8B03            MOV EAX,DWORD PTR DS:[EBX]
006B8D49    E8 766CDDFF     CALL flDiagS.0048F9C4
006B8D4E    8B0B            MOV ECX,DWORD PTR DS:[EBX]
006B8D50    B2 01           MOV DL,1
006B8D52    A1 F0796B00     MOV EAX,DWORD PTR DS:[6B79F0]
006B8D57    E8 38F2DCFF     CALL flDiagS.00487F94
006B8D5C    8B15 A0DD6B00   MOV EDX,DWORD PTR DS:[6BDDA0]            ; flDiagS.006C0560
006B8D62    8902            MOV DWORD PTR DS:[EDX],EAX
006B8D64    A1 A0DD6B00     MOV EAX,DWORD PTR DS:[6BDDA0]
006B8D69    8B00            MOV EAX,DWORD PTR DS:[EAX]
006B8D6B    E8 7C35DDFF     CALL flDiagS.0048C2EC
006B8D70    A1 A0DD6B00     MOV EAX,DWORD PTR DS:[6BDDA0]
006B8D75    8B00            MOV EAX,DWORD PTR DS:[EAX]
006B8D77    8B10            MOV EDX,DWORD PTR DS:[EAX]
006B8D79    FF92 88000000   CALL DWORD PTR DS:[EDX+88]
006B8D7F    8B03            MOV EAX,DWORD PTR DS:[EBX]
006B8D81    BA 388E6B00     MOV EDX,flDiagS.006B8E3
006B8D86    E8 3168DDFF     CALL flDiagS.0048F5BC
006B8D8B    8B0D 70E16B00   MOV ECX,DWORD PTR DS:[6BE170]            ; flDiagS.006C01E0
006B8D91    8B03            MOV EAX,DWORD PTR DS:[EBX]
006B8D93    8B15 54BF5D00   MOV EDX,DWORD PTR DS:[5DBF54]            ; flDiagS.005DBFA0

loadpe dump后，用impr修复，运行正常，

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！