-
-
[旧帖] [邀请码已发][原创]手动脱壳(很菜) 0.00雪花
-
发表于: 2009-8-26 12:02
-
本人是大菜高手不要笑话.
找到一个checkme,有教程.(教程略去)
BCG.rar
但是却写着脱壳过程略去.......
我当时没用什么专门软件,只有od,peid.
peid查,上面写着ASPack 2.11->Alexey Solodovnikov
后来才知道有专门软件脱这种壳.
算是大菜脱壳第一次吧.
用od打开
入口超出代码范围.
狂按f7
进入一个循环.其中只有一个判断:
00428576 81FB 966090F4 CMP EBX,F4906096
0042857C ^ 0F85 70FFFFFF JNZ BCG.004284F2
00428582 66:8BF7 MOV SI,DI
每次判断都是要跳,
要跳出循环在它下面428582处按f4.
接着狂按f8
又进入一个循环,有好几个判断:
00428132 /74 2E JE SHORT BCG.00428162
00428134 |78 2C JS SHORT BCG.00428162
00428136 |AC LODS BYTE PTR DS:[ESI]
00428137 |3C E8 CMP AL,0E8
00428139 |74 0A JE SHORT BCG.00428145
0042813B |EB 00 JMP SHORT BCG.0042813D
0042813D |3C E9 CMP AL,0E9
0042813F |74 04 JE SHORT BCG.00428145
00428141 |43 INC EBX
00428142 |49 DEC ECX
00428143 ^|EB EB JMP SHORT BCG.00428130
00428145 |8B06 MOV EAX,DWORD PTR DS:[ESI]
00428147 |EB 00 JMP SHORT BCG.00428149
00428149 |803E 00 CMP BYTE PTR DS:[ESI],0
0042814C ^|75 F3 JNZ SHORT BCG.00428141
0042814E |24 00 AND AL,0
00428150 |C1C0 18 ROL EAX,18
00428153 |2BC3 SUB EAX,EBX
00428155 |8906 MOV DWORD PTR DS:[ESI],EAX
00428157 |83C3 05 ADD EBX,5
0042815A |83C6 04 ADD ESI,4
0042815D |83E9 05 SUB ECX,5
00428160 ^|EB CE JMP SHORT BCG.00428130
00428162 \5B POP EBX
走几圈发现第一个je总没有跳,就在最后一行428162按f4.
后面又有一个循环,我没找到出口...........狂按f8,
忽然跳到一个没有翻译反汇编的地方.401000
在反汇编窗口右键->分析->分析代码
00401000 . 6A 00 PUSH 0 ; /pModule = NULL
00401002 . E8 91010000 CALL BCG.00401198 ; \GetModuleHandleA
00401007 . A3 22204000 MOV DWORD PTR DS:[402022],EAX ; BCG.00400000
0040100C . 68 0C214000 PUSH BCG.0040210C ; /pBufCount = BCG.0040210C
好像是正常代码
用ollydump插件脱壳入口改为401000.
脱壳成功.
脱壳果然很简单..怪不得作者略去了..
有兴趣的人接续下面的注册操作....(也很简单)
