设为首页收藏本站每日签到
切换到宽版

宝峰科技

 找回密码
 注册

QQ登录

只需一步,快速开始

宝峰科技»网站 安全技术 脱壳破解 三次内存断点脱UltraProtect 1.x -> RISCO Software Inc ...
智能终端设备维修查询系统注册会员邮箱认证须知!
返回列表 发新帖
查看: 2435|回复: 0

三次内存断点脱UltraProtect 1.x -> RISCO Software Inc

[复制链接]

该用户从未签到
破解狼人 发表于 2010-10-31 21:05:41 | 显示全部楼层 |阅读模式

欢迎您注册加入!这里有您将更精采!

您需要 登录 才可以下载或查看,没有账号?注册

x
三次内存断点脱UltraProtect 1.x -> RISCO Software Inc.

该软件是被人破解后重新加了壳,为了对比与原文件的区别,将文件脱壳后进行了对比。PEID查看,壳为UltraProtect 1.x -> RISCO Software Inc.进入实战:

1、OD忽略所有异常,载入加壳软件:
  1. 00823000 > 60 PUSHAD ; 壳入口点
  2. 00823001 E8 01000000 CALL 品茗网络.00823007
  3. 00823006 - 7C 83 JL SHORT 品茗网络.00822F8B
  4. 00823008 04 24 ADD AL,24
  5. 0082300A 06 PUSH ES
  6. 0082300B C3 RETN
  7. 0082300C 87D9 XCHG ECX,EBX
  8. 0082300E 85CB TEST EBX,ECX
  9. 00823010 87D3 XCHG EBX,EDX
  10. 00823012 E8 01000000 CALL 品茗网络.00823018
  11. 00823017 - 74 83 JE SHORT 品茗网络.00822F9C
  12. 00823019 04 24 ADD AL,24
  13. 0082301B 06 PUSH ES
  14. 0082301C C3 RETN
复制代码
2、ALT+M打开内存镜像,CODE断下内存访问断点,F9运行:
  1. 00835583 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>; 停在此处
  2. 00835585 58 POP EAX
  3. 00835586 50 PUSH EAX
  4. 00835587 FFB5 4AF84000 PUSH DWORD PTR SS:[EBP+40F84A]
  5. 0083558D E8 2C4C0000 CALL 品茗网络.0083A1BE
  6. 00835592 FFB5 4AF84000 PUSH DWORD PTR SS:[EBP+40F84A]
  7. 00835598 FF95 03FD4000 CALL DWORD PTR SS:[EBP+40FD03]
  8. 0083559E 5E POP ESI
  9. 0083559F 83C6 08 ADD ESI,8
  10. 008355A2 ^ EB B1 JMP SHORT 品茗网络.00835555
复制代码
3、ALT+M再次打开内存镜像,DATA断下内存写入断点,F9运行:
  1. 0083A221 8807 MOV BYTE PTR DS:[EDI],AL ; 停在此处
  2. 0083A223 47 INC EDI
  3. 0083A224 ^ EB C6 JMP SHORT 品茗网络.0083A1EC
  4. 0083A226 03D2 ADD EDX,EDX
  5. 0083A228 75 0C JNZ SHORT 品茗网络.0083A236
复制代码
4、ALT+M三次打开内存镜像,重新在CODE断下内存访问断点,F9运行,停在OEP处:
  1. 005FA468 55 PUSH EBP ; OEP
  2. 005FA469 8BEC MOV EBP,ESP
  3. 005FA46B 83C4 E4 ADD ESP,-1C
  4. 005FA46E 53 PUSH EBX
  5. 005FA46F 56 PUSH ESI
  6. 005FA470 57 PUSH EDI
  7. 005FA471 33C0 XOR EAX,EAX
  8. 005FA473 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX
  9. 005FA476 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
  10. 005FA479 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX
  11. 005FA47C B8 C09E5F00 MOV EAX,品茗网络.005F9EC0
复制代码
5、LOADPE转存后用importREC修复输入表,OEP:001FA468,Get Imports,Cut掉无效指针,FIXDUMP,保存后运行正常。运气好,碰到软柿子,IAT也没有加密,好像ACProtect都是很变态的。
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件编程开发或软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习编程开发技术或逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者用于商业用途!否则,一切后果请用户自负!

QQ|Archiver|手机版|小黑屋|联系我们|宝峰科技 ( 滇公网安备 53050202000040号 | 滇ICP备09007156号-2 )

Copyright © 2001-2023 Discuz! Team. GMT+8, 2024-12-22 21:29 , File On Powered by Discuz! X3.49

快速回复 返回顶部 返回列表