|
QQ收割小分队4.2(beta版)这个最新版,一直都用其他会员的脱壳去广告版,今天无意自己看了下这个软件,发现其实这软件很容易去广告,下面教大家方法,我不说多详细,做个大概的记录吧
程序下载地址:http://www.176web.com/xiazai/shouge4.2.rar
看区段就知道是VMProtect所加的壳,大家别看到VMProtect就害怕,其实他只用了VMProtect的压缩功能,IAT没有加密,连入口点都没有被虚拟变形,所以难度相当于UPX,脱起来也很简单,首先你要先学会怎么调试它,关于OD被发现的问题,可以看本区的置顶帖:
http://www.52pojie.cn/thread-15368-1-1.html
http://www.52pojie.cn/thread-31095-1-1.html
第一部分:脱壳
载入OD,脱壳思路就是解码dump修复iat,直接在VirtualProtect断尾F2断点吧,然后就一直F9,从数据窗口观察数据是否被解码了,也就是401000这的代码是否被恢复了,等到发现代码恢复就可以取消断点,然后再程序的代码段.text下段,再F9下就停在程序的OEP了
0045647C E8 68F10000 call 收割小分.004655E9 ; VC++ 2008 OEP
00456481 ^ E9 78FEFFFF jmp 收割小分.004562FE
00456486 8BFF mov edi,edi
00456488 55 push ebp
00456489 8BEC mov ebp,esp
0045648B 6A 00 push 0
复制代码
IAT也很清晰:
00477000 77DCC110 ADVAPI32.LookupPrivilegeValueA
00477004 77DA796B ADVAPI32.OpenProcessToken
00477008 77DA6C07 ADVAPI32.RegCloseKey
0047700C 77DB42F0 ADVAPI32.RegQueryValueA
00477010 77DA7832 ADVAPI32.RegOpenKeyExA
00477014 77DAEE4C ADVAPI32.AdjustTokenPrivileges
00477018 77DA7A9B ADVAPI32.RegQueryValueExA
0047701C 77DAE834 ADVAPI32.RegCreateKeyExA
00477020 77DAE927 ADVAPI32.RegSetValueExA
00477024 77DCB6BE ADVAPI32.RegDeleteKeyA
00477028 77DC86A3 ADVAPI32.RegEnumKeyA
复制代码
我习惯用UIF修复下IAT,很多人不会使用,做个简单的截图吧,先看程序进程的PID,填入UIF就可以了 |
|