|
|
方法:F12堆栈调用 回朔
参考文献:http://www.unpack.cn/viewthread.php?tid=7812
大家好,我是Hmily,好久没给大家做教程了,今天给大家做个跳过ASPR注册框的教程
方法先是在UNPack论坛学习到的,地址就是上面的,wynney大侠写的,做这个教程只是把文字转换成视频罢了~
好,我们进如正题吧,今天的目标程序是一个QQT外挂,ASPR2.3 06.23的版本,这个是我脱好的,应该是E语言写的外挂,先把目标程序载入OD吧~我们的思路是通过他弹对话框来找到对话框的位置,先SHIFT+F9,把程序跑起来,我们点确定,就用这个对话框来找地址~,方法有2种,一个可以下BP MessageBoxA断点,点确定后返回,第二种我比较喜欢用F12堆栈调用的方法,现在就用这种方法演示~先F12暂停,再点K查看堆栈信息,我们要找的就是这个对话框调用的地方双击进去,现在F9,点确定就停下来了,现在就跟着走了,回朔到段首,在段首下硬件断点(是硬件断点哦,因为有壳~),下好后,重新载入运行!看堆栈窗口,有返回的地址,我们跟随~双击就可以了,继续找~接着返回一次,找到关键地方了,记得不要通过修改代码来实现跳转,不然会出错,因为壳有校验的,修改标志位来实现~双击Z位,跳转实现,F9,这样就跳过来了~简单吧,和破解软件思路差不多,多在自己摸索练习,学习别人的文章,现在到脱壳了,虽然跳过来了但是壳还在,想共享外挂的话就必须把壳脱了,怎么脱就要靠Volx大侠Aspr2.XX_unpacker_1.13脚本了,但是脚本没有跳过KEY的步骤,那就自己改吧,wynney大侠改过老版本的脚本,我跟着对比乱改了点,基本只有我会用那脚本了(不会写脚本,郁闷),现在演示下怎么脱吧~
OK,这下可以了,出现错误就停下来了,其实脚本我不会写,我只有把到这的时候给搞错误,然后自己手动跳过去,再用脚本继续脱,看我演示,OK,,脱了吧,修复下,打开脚本记录~很多朋友这不会修复,对照脚本填写即可,填写完不要点自动查找了,直接点获取输入表~修复~由于是E语言写的,需要把附加数据给加上~OK这样就完美脱壳了,脚本太强大,被我改的好丑,期待Volx大侠完善脚本!
http://www.rayfile.com/zh-cn/files/5e34ec59-f2a7-11dc-9fda-0014221f3995/ |
|
狗仔卡
发表于 2010-1-6 21:52:13
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡