脱PEX V0.99b bart^crackPL的壳
脱PEX V0.99b bart^crackPL的壳。这个壳的强度一般,不过有对ice和trw的陷阱,我们要设法跳过去。
工具:trw、ice、improtrec等。
我不说是哪个程序,但是如果你要想跟我一同研究探讨的话请Q我。
好了,来吧!
真正的入口?用冲击波就可以找到:4261F4。
017F:00447FFEINVALID
017F:00448000JMP 004480FA <----入口,按F8继续跟。
017F:00448005OR EAX,C4C4C40A
...............
017F:004480FAPUSHAD
017F:004480FBCALL 00448101<-----注意!你可以看到这个CALL的地址448101与4480FB很近,所以以后看到有这样的CALL都要按F8单步执行。
017F:00448100CALL E8494588
017F:00448105ADD ,EAX
017F:00448107ADD ,AL
017F:00448109JMP D632026B
017F:0044810EAND AL,
017F:00448111CALL 0044831C
017F:00448116CALL 032F8A06
017F:0044811BINT 20 VXDCall 9A24,24FF
017F:00448121MOV SI,4647
017F:00448125CALL 0044812B
017F:0044812ACALL 4023:27958D59
017F:00448131ADD AL,CH
017F:00448133ADD ,EAX
017F:00448135ADD ,AL
017F:00448137IMUL EBX,,E84A4DBF
017F:0044813EROL DWORD PTR ,00
017F:00448141ADD ,CL
017F:00448147ADD ,AL
你按几次F8就会来到陷阱处了,小心咯!会死机的。
017F:00448142LEA EDX,
017F:00448145CALL 0044814B
017F:0044814ACALL 0010E9AA
017F:0044814BPOP EBX <----就是这里
017F:0044814CPUSH 9AE2FFCC<-----置陷阱
017F:00448151JMP ESP <----掉入陷阱咯!我们进去看看!
017F:00448153IMUL EDI,EDI,402545A5
017F:00448159ADD CL,CH
017F:0044815BCALL 00448119
仔细看看:esp下的值。
EAX=00000000EBX=0044814AECX=00448142EDX=00448154ESI=81654647
EDI=00004A4DEBP=00045E34ESP=0068FE08EIP=0068FE08o d I s Z a P c
CS=017FDS=0187SS=0187ES=0187FS=4B8FGS=0000
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪dword哪哪哪哪哪哪腜ROT哪?0)哪
0187:0068FE08 9AE2FFCC0068FF68004481F100045E34 ....h.h...D.4^..
0187:0068FE18 0044815B0000000081652CD80068FF78 [.D......,e.x.h.
0187:0068FE28 0068FE3C0000000081652D3881652CF8 <.h.....8-e..,e.
0187:0068FE38 00448000BFF8B86C0000000081652CD8 ..D.l........,e.
0187:0068FE48 0000000074746F4C0079726500455845 ....Lottery.EXE.
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪腜ROT32
017F:0068FE02F7BFFFFFFFFF IDIV DWORD PTR
017F:0068FE08CC INT 3<----会来到这!阿!明白了应该是利用int 3来判断是否被调试工具调试。按F8就会非法操作了。我把数据栏你的数据9AE2FFCC改为9AE2FF4A,这样就不会出错了。
017F:0068FE09FFE2 JMP EDX
017F:0068FE0B9A68FF6800F181 CALL 81F1:0068FF68
017F:0068FE1244 INC ESP
017F:0068FE1300345E ADD ,DH
017F:0068FE160400 ADD AL,00
017F:0068FE185B POP EBX
017F:0068FE1981440000000000D8 ADD DWORD PTR ,D8000000
...改后的程序:
017F:0068FE02F7BFFFFFFFFF IDIV DWORD PTR
017F:0068FE084A DEC EDX
017F:0068FE09FFE2 JMP EDX
017F:0068FE0B9A68FF6800F181 CALL 81F1:0068FF68
......按F8继续
017F:004481D932C6 XOR AL,DH
017F:004481DBD2C0 ROL AL,CL
017F:004481DDD3C2 ROL EDX,CL
017F:004481DF8807 MOV ,AL
017F:004481E147 INC EDI
017F:004481E249 DEC ECX
017F:004481E375D0 JNZ 004481B5
017F:004481E5E801000000 CALL 004481EB
017F:004481EAE883C4040F CALL 0F494672
017F:004481EB83C404 ADD ESP,04
017F:004481EE0F0B UD2 <----这里小心,按F6,移动光标到4481FD后按F7。跳过这里。
017F:004481F0E82BD2648B CALL 8BA95420
017F:004481F5028B20648F02 ADD CL,
017F:004481FB58 POP EAX
017F:004481FC5D POP EBP
017F:004481FDC3 RET
....以后就没有什么了,多数用F8+F6+F7就可以搞定,要注意跳过循环。这可要一定的技巧,就看你的了。很快就会转入660XXX的层解还原了,你可以看到基址、IAT和部分API里面的函数了,这可是事后修复IAT的参照阿!
可以直接bpx 4261f4,然后makepe了。 QQ密码找回,软件定做-破解,网站建设等,「国内唯一资质正规」
本工作室,成立于2006年5月28日,专业[计算机]队伍,我们的目标 维护网络安全的目标为己任.努力创新,实践.
苍鹰技术团队是一家拥有营业执照实体店铺工作室,并且是国内网络唯一具有相关许可资质的工作室!
业务承接列表:
QQ密码找回, QQ聊天记录截取,QQIP精确定位, 阿里旺旺密码找回。
软件定做, 软件破解, DDOS业务 ,修改数据 ,FLASH动画制作
网站建设制作, 网站程序修改, 信息推广,网站推广
如业务列表没有您需要办理的业务!请联系我们业务QQ。我们会按照您所说的要求!量身为您处理!
如有需要请联系我们唯一业务 qq 360204320
三年品质,塑造经典!携手共创辉煌!诚信交易,愉快合作!
------------------------------------------------------------------------------------
我们拥有 服务优良的客服+实力雄厚的技术团队+完善的售后服务!相信选择我们没有错!
用我们真诚的服务换来您的喜悦.服务没有终点!我们期待与您的合作!
------------------------------------------------------------------------------------
友情提示:
顾客所办理业务及相关信息!我们将严格保密!待合作完成后!我们将彻底删除合作相关信息!
页:
[1]