-
-
关于SecuROM 5脱壳后修复API调用的问题
-
发表于: 2004-12-26 19:33
-
这里似乎很少有关于光盘保护的讨论,如果该贴不符合版规请删贴
最近在看SecuROM 5,看下来加壳的方法基本上还是对部分代码加密,运行时动态解密以及使用了系统API替换的技术。现在我对某程序的主程序部分的代码解密完成,并修复了该文件的资源以及导入表节区和真实入口地址,但如何恢复被替换的API还是不清楚,导入表是已经完全恢复,但原程序中call API的地方,地址都被SecuROM替换,并且已经可以肯定没有线形对应关系(某几处对同一地址的call换成正确的API时不是对应同一个API,这是对未完全破解的和他人已完全破解的版本对比出来的结果)
我不确定是否一定要对每个替换后的地址都动态跟一遍才能得出正确的API,这样非常麻烦并且不具通用性,而且目前手头这个程序,根据和已破解的版本相对比,有260余处API调用要改,估计还没完全跟出来,SecuROM 6就出来了
所以想在此候高人指点,不胜感激
最近在看SecuROM 5,看下来加壳的方法基本上还是对部分代码加密,运行时动态解密以及使用了系统API替换的技术。现在我对某程序的主程序部分的代码解密完成,并修复了该文件的资源以及导入表节区和真实入口地址,但如何恢复被替换的API还是不清楚,导入表是已经完全恢复,但原程序中call API的地方,地址都被SecuROM替换,并且已经可以肯定没有线形对应关系(某几处对同一地址的call换成正确的API时不是对应同一个API,这是对未完全破解的和他人已完全破解的版本对比出来的结果)
我不确定是否一定要对每个替换后的地址都动态跟一遍才能得出正确的API,这样非常麻烦并且不具通用性,而且目前手头这个程序,根据和已破解的版本相对比,有260余处API调用要改,估计还没完全跟出来,SecuROM 6就出来了
所以想在此候高人指点,不胜感激
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
寒哦,只好慢慢拦API慢慢替换,顺便帮自己顶一下
|
|
|
|
|
|
|
|
|
|
