-
-
[旧帖]
[原创]阿达爆破,肤浅,能给个码吗?
0.00雪花
-
发表于:
2009-5-11 11:28
1801
-
[旧帖] [原创]阿达爆破,肤浅,能给个码吗?
0.00雪花
先感谢那些前辈们,有了他们总结的理论,我们才得以快快成长!
--------题记
今天来破的是阿达连连看1.58版的,确实是一个很老的版本,应该是2004年出来的,本来与它没什么谋面之缘,但电脑上不了网,就把以前的黑X光盘复到电脑上,是04年3月的光盘,那04年出来的阿达便很应该的在里面了,它的选关被限制了,最扫兴的是闯完第三关后便锁定。
先看下壳,如图1,显然是有附加数据或被改过
再看下,如图2,应该就是Aspack的壳了,手动脱壳不在今天讨论范围,而且Aspack可以说被大家脱烂了,以前看别人的破解文章,讲了许多,小菜不会的可以看看以前的黑X。
貌似我们什么也没查到,那我们用OD直接载入,先跟下,(按照手动脱壳的规则:一、只能向下走,出现向上回走的在下一步F4,大家都知道。二、还有一点就是遇到近Call是要F7,而不是F8,要不然容易跑飞!)如图3,出现向上回跳,后面是一连几个的nop,那我们就在00444022处F4,00444022处突变成一个近Call,F7,
我们就来到如图4,看看多么的熟悉啊,用ESP定律,大家不要忘了把断点删了。
我们就来到了如图5,F8跟下就到了00440001处,我们先在此处脱下“壳“当然不是真正的壳,保存为110.exe。
我们再查下壳,如图6 ,恩,真正的壳信息就出来了,下面脱壳可以用工具,手工也可以,我的目的就是想让大家知道PEID查不到信息时怎么办,当然我试过用工具脱壳前期不用OD处理也照样脱掉,但发现这块砖就不禁抛出来与大家分享,顺便勾引一下玉!
脱完后,会运行不了,那就恢复下喽,用ImportREC_fix.exe,步骤我就不说了,黑X有过详细的文章。现在到真正的爆破了,先看看软件有啥有用的提示,如图7,用OD载入,搜了搜,没有什么,于是便仔细的看。
如图8处的iwin-ad.dll应该是注册生成的,双击来到代码处,我们向下分析
来到如图9处,注释在图中,那我们就可是爆破,把00436AF5 je short 改成nop,00436AF6 写为nop,保存下,运行下,OK,爆破成功!
俺就知道这点了,还要多多学习,不知道能给个不?
[email]soloriad@vip.qq.com[/email]
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)