QQ收割小分队脱壳去广告记录

mjlmjl

QQ收割小分队4.2(beta版)这个最新版,一直都用其他会员的脱壳去广告版,今天无意自己看了下这个软件,发现其实这软件很容易去广告,下面教大家方法,我不说多详细,做个大概的记录吧

程序下载地址:http://www.176web.com/xiazai/shouge4.2.rar

看区段就知道是VMProtect所加的壳,大家别看到VMProtect就害怕,其实他只用了VMProtect的压缩功能,IAT没有加密,连入口点都没有被虚拟变形,所以难度相当于UPX,脱起来也很简单,首先你要先学会怎么调试它,关于OD被发现的问题,可以看本区的置顶帖:
http://www.52pojie.cn/thread-15368-1-1.html
http://www.52pojie.cn/thread-31095-1-1.html

第一部分:脱壳

载入OD,脱壳思路就是解码dump修复iat,直接在VirtualProtect断尾F2断点吧,然后就一直F9,从数据窗口观察数据是否被解码了,也就是401000这的代码是否被恢复了,等到发现代码恢复就可以取消断点,然后再程序的代码段.text下段,再F9下就停在程序的OEP了

0045647C     E8 68F10000            call 收割小分.004655E9                             ; VC++ 2008 OEP

00456481   ^ E9 78FEFFFF            jmp 收割小分.004562FE

00456486     8BFF                   mov edi,edi

00456488     55                     push ebp

00456489     8BEC                   mov ebp,esp

0045648B     6A 00                  push 0
复制代码

IAT也很清晰:

00477000  77DCC110  ADVAPI32.LookupPrivilegeValueA

00477004  77DA796B  ADVAPI32.OpenProcessToken

00477008  77DA6C07  ADVAPI32.RegCloseKey

0047700C  77DB42F0  ADVAPI32.RegQueryValueA

00477010  77DA7832  ADVAPI32.RegOpenKeyExA

00477014  77DAEE4C  ADVAPI32.AdjustTokenPrivileges

00477018  77DA7A9B  ADVAPI32.RegQueryValueExA

0047701C  77DAE834  ADVAPI32.RegCreateKeyExA

00477020  77DAE927  ADVAPI32.RegSetValueExA

00477024  77DCB6BE  ADVAPI32.RegDeleteKeyA

00477028  77DC86A3  ADVAPI32.RegEnumKeyA
复制代码

我习惯用UIF修复下IAT,很多人不会使用,做个简单的截图吧,先看程序进程的PID,填入UIF就可以了