论坛 › 破解加密 › 脱PEX V0.99b bart^crackPL的壳

天下无敌。 发表于 2010-2-17 05:11:05

脱PEX V0.99b bart^crackPL的壳

脱PEX V0.99b bart^crackPL的壳。
这个壳的强度一般，不过有对ice和trw的陷阱，我们要设法跳过去。
工具：trw、ice、improtrec等。
我不说是哪个程序，但是如果你要想跟我一同研究探讨的话请Q我。
好了，来吧！
真正的入口？用冲击波就可以找到：4261F4。
017F:00447FFEINVALID                                                         
017F:00448000JMP      004480FA    <----入口，按F8继续跟。   
017F:00448005OR      EAX,C4C4C40A                                          
...............   
017F:004480FAPUSHAD                                                             
017F:004480FBCALL      00448101<-----注意！你可以看到这个CALL的地址448101与4480FB很近，所以以后看到有这样的CALL都要按F8单步执行。   
017F:00448100CALL      E8494588                                             
017F:00448105ADD      ,EAX                                             
017F:00448107ADD      ,AL                                             
017F:00448109JMP      D632026B                                             
017F:0044810EAND      AL,                                             
017F:00448111CALL      0044831C                                             
017F:00448116CALL      032F8A06                                             
017F:0044811BINT      20 VXDCall 9A24,24FF                                 
017F:00448121MOV      SI,4647                                                
017F:00448125CALL      0044812B                                             
017F:0044812ACALL      4023:27958D59                                          
017F:00448131ADD      AL,CH                                                   
017F:00448133ADD      ,EAX                                             
017F:00448135ADD      ,AL                                             
017F:00448137IMUL      EBX,,E84A4DBF                                 
017F:0044813EROL      DWORD PTR ,00                                    
017F:00448141ADD      ,CL                                       
017F:00448147ADD      ,AL   
你按几次F8就会来到陷阱处了，小心咯！会死机的。   
017F:00448142LEA      EDX,                                             
017F:00448145CALL      0044814B                                                 
017F:0044814ACALL      0010E9AA                                             
017F:0044814BPOP      EBX      <----就是这里                              
017F:0044814CPUSH      9AE2FFCC<-----置陷阱                                 
017F:00448151JMP      ESP      <----掉入陷阱咯！我们进去看看！   
017F:00448153IMUL      EDI,EDI,402545A5                                       
017F:00448159ADD      CL,CH                                                   
017F:0044815BCALL      00448119                                             
仔细看看：esp下的值。   
EAX=00000000EBX=0044814AECX=00448142EDX=00448154ESI=81654647         
EDI=00004A4DEBP=00045E34ESP=0068FE08EIP=0068FE08o d I s Z a P c   
CS=017FDS=0187SS=0187ES=0187FS=4B8FGS=0000                     
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪dword哪哪哪哪哪哪腜ROT哪?0)哪   
0187:0068FE08 9AE2FFCC0068FF68004481F100045E34      ....h.h...D.4^..       
0187:0068FE18 0044815B0000000081652CD80068FF78      [.D......,e.x.h.       
0187:0068FE28 0068FE3C0000000081652D3881652CF8      <.h.....8-e..,e.      
0187:0068FE38 00448000BFF8B86C0000000081652CD8      ..D.l........,e.       
0187:0068FE48 0000000074746F4C0079726500455845      ....Lottery.EXE.       
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪腜ROT32   
017F:0068FE02F7BFFFFFFFFF      IDIV      DWORD PTR                
017F:0068FE08CC                  INT      3<----会来到这！阿！明白了应该是利用int 3来判断是否被调试工具调试。按F8就会非法操作了。我把数据栏你的数据9AE2FFCC改为9AE2FF4A，这样就不会出错了。       
017F:0068FE09FFE2                JMP      EDX                                 
017F:0068FE0B9A68FF6800F181      CALL      81F1:0068FF68                     
017F:0068FE1244                  INC      ESP                                 
017F:0068FE1300345E            ADD      ,DH                     
017F:0068FE160400                ADD      AL,00                              
017F:0068FE185B                  POP      EBX                                 
017F:0068FE1981440000000000D8    ADD      DWORD PTR ,D8000000   
...改后的程序：   
017F:0068FE02F7BFFFFFFFFF      IDIV      DWORD PTR                
017F:0068FE084A                  DEC      EDX                                 
017F:0068FE09FFE2                JMP      EDX                                 
017F:0068FE0B9A68FF6800F181      CALL      81F1:0068FF68   
......按F8继续   
017F:004481D932C6                XOR      AL,DH                               
017F:004481DBD2C0                ROL      AL,CL                               
017F:004481DDD3C2                ROL      EDX,CL                           
017F:004481DF8807                MOV      ,AL                           
017F:004481E147                  INC      EDI                                 
017F:004481E249                  DEC      ECX                                 
017F:004481E375D0                JNZ      004481B5                           
017F:004481E5E801000000          CALL      004481EB                           
017F:004481EAE883C4040F          CALL      0F494672                           
017F:004481EB83C404            ADD      ESP,04                           
017F:004481EE0F0B                UD2            <----这里小心，按F6，移动光标到4481FD后按F7。跳过这里。                           
017F:004481F0E82BD2648B          CALL      8BA95420                           
017F:004481F5028B20648F02      ADD      CL,                  
017F:004481FB58                  POP      EAX                                 
017F:004481FC5D                  POP      EBP                                 
017F:004481FDC3                  RET                                          
....以后就没有什么了，多数用F8+F6+F7就可以搞定，要注意跳过循环。这可要一定的技巧，就看你的了。很快就会转入660XXX的层解还原了，你可以看到基址、IAT和部分API里面的函数了，这可是事后修复IAT的参照阿！   
可以直接bpx 4261f4，然后makepe了。

一颗中国心啊 发表于 2010-5-16 07:11:33

QQ密码找回,软件定做-破解,网站建设等,「国内唯一资质正规」

本工作室,成立于2006年5月28日，专业[计算机]队伍,我们的目标 维护网络安全的目标为己任.努力创新,实践.
苍鹰技术团队是一家拥有营业执照实体店铺工作室,并且是国内网络唯一具有相关许可资质的工作室!

业务承接列表：
QQ密码找回, QQ聊天记录截取,QQIP精确定位, 阿里旺旺密码找回。

软件定做, 软件破解, DDOS业务 ,修改数据 ,FLASH动画制作

网站建设制作, 网站程序修改, 信息推广，网站推广

如业务列表没有您需要办理的业务！请联系我们业务QQ。我们会按照您所说的要求！量身为您处理！

如有需要请联系我们唯一业务 qq 360204320

三年品质,塑造经典!携手共创辉煌!诚信交易,愉快合作!
------------------------------------------------------------------------------------

我们拥有 服务优良的客服+实力雄厚的技术团队+完善的售后服务!相信选择我们没有错!

用我们真诚的服务换来您的喜悦.服务没有终点!我们期待与您的合作!
------------------------------------------------------------------------------------
友情提示:

顾客所办理业务及相关信息！我们将严格保密！待合作完成后！我们将彻底删除合作相关信息！

查看完整版本: 脱PEX V0.99b bart^crackPL的壳