|
|
发表于 2010-1-20 21:26:03
|显示全部楼层
前言:很简单,希望对新手有帮助...........老鸟就不要看了....^_^
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐~
手动脱壳时,脱壳程序里面会有好多循环。对付循环时,只能让程序往前运行,基本不能让它往回跳{有时后要往前,以便跳处循环}
目标程序:WIN98计事本
用OD载入~~~~~
停在这~~
00410305 N> BE A4014000 mov esi,NOTEPAD.004001A4
0041030A AD lods dword ptr ds:[esi]
0041030B 93 xchg eax,ebx
0041030C AD lods dword ptr ds:[esi]
0041030D 97 xchg eax,edi
0041030E AD lods dword ptr ds:[esi]
0041030F 56 push esi
00410310 96 xchg eax,esi
00410311 B2 80 mov dl,80
00410313 A4 movs byte ptr es:[edi],byte ptr ds:[>
00410314 B6 80 mov dh,80
不要跟进这个壳~~~
直接按CTRL+S搜索命令:lods dword ptr ds:[esi] ,搜索两次后会停在这~
push eax
004103A0 AD lods dword ptr ds:[esi] 停在这~~
004103A1 50 push eax
004103A2 EB 09 jmp short NOTEPAD.004103AD
004103A4 FE0E dec byte ptr ds:[esi]
004103A6 - 0F84 200DFFFF je NOTEPAD.004010CC \\好熟悉的oeP !!!!!
在004103A6处按enter键, 来到了~~~
004010CC 55 db 55
004010CD 8B db 8B
004010CE EC db EC
004010CF 83 db 83
004010D0 EC db EC
004010D1 44 db 44
004010DA F0 db F0
004010DB 8A db 8A
在004010CC 下断点,在执行,再取消断点,在把它DUMP,OK~~~~
还有一种方法,那就是模拟跟踪, 在命令行中输入 tc eip<404000 (关于这个命令呢,我来说一说,404000是在看内存时估计的一个范围,tc是下一个模拟的命令~~~~eip是CPU的控制寄存器,也就是读取OEP啦~~~~~~)
这种方法基本上对于所有FSG1.33壳都是合适的,其实它也可以来单步跟踪 ~~~~只是注意一下要跳到OEP之前的命令与UXP,ASPACK等压缩壳不是一样的 ~~~~~~~~~~
后话:高二已经过半了, 刚刚考完试,考的不是很理想,但是想到可以休息休息几天,不管了,呵呵~~ 连夜做了几个教程,希望那些想学CRACK的小菜们(我也是啦~)总结一些经验,少走一些弯路~~~我记得+Immlep+大哥说过:破解是件很无聊的事,因为它会花费你很多时间,同时破解也是件很有趣的事,因为你永远不会忘记你成功破解一个程序后的激动~~~~~ |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡