这是一个加壳软件,软件加壳后可以检测trw及sice,它的1.00版检测到trw或sice时只是提示,到了1.01版,检测到就会出现非法操作.
未注册版好像没有时间限制,但是给软件加壳后每次运行就会提示"unregistered jdpack.this file packed by unregistered jdpack1.0* from http://www.tlzj18.com"
使用工具:trw kwdsm
下载地址(1.00 and 1.01): http://person.longcity.net/home0/flyfancy/jd.rar
脱壳:
我最初追踪的是1.00版,当时软件还只是提示,我就很轻易的找到了关键
bpx getversionexa
g
断下后
先bc(因为以后有几个getversionexa的调用,但是与脱壳无关)
下面会有2个jz,但是不能让它跳,否则就提示检测到调试器(因为我用的是trw)
输入 r fl z
之后就是一个jmp
f8继续,后面就很简单了,我只记得快到的时候会有
popa
jmp eax
然后makepe即可
1.01的脱壳方法也是
bpx getversionexa
g
就到了这里
0187:0040e250 call near [ebp 004031b1] //停在这里,先bc
0187:0040e256 lea ebx,[ebp 00403449]
0187:0040e25c cmp dword [ebx 10],byte 01
0187:0040e260 jz 0040e276 (jump)//下 r fl z,跳的话就完了.
0187:0040e262 cmp dword [ebx 10],byte 02
0187:0040e266 jz 0040e26a
0187:0040e268 jmp short 0040e284 //f8进去
0187:0040e284 mov edx,[ebp 00403441] //到了这里
0187:0040e28a mov esi,[ebp 004031d9]
0187:0040e290 add esi,edx
0187:0040e292 mov eax,[esi 0c]
0187:0040e295 or eax,eax
0187:0040e297 jz near 0040e3ea (no jump) //看到这里吗,就g 40e3ea吧
0187:0040e29d add eax,edx
0187:0040e29f mov [ebp 004031a5],eax
0187:0040e2a5 mov ebx,eax
0187:0040e3ea mov edx,[ebp 00403441]
0187:0040e3f0 mov eax,[ebp 004031d5]
0187:0040e3f6 add eax,edx
0187:0040e3f8 mov [esp 1c],eax
0187:0040e3fc popa
0187:0040e3fd push eax
0187:0040e3fe ret // 到了这里,按f8就返回程序的oep处了,直接makepe即可
如对本文有疑问,
点击进行留言回复!!
相关文章:
-
-
-
-
-
-
-
-
-
缓冲区溢出解密一
缓冲溢出弱点诞生于70年代。Morris Worm(80年代)可以认为是它们的第一次公开应用。从90年代开始,相关的文档,如著名的Aleph1的”S...
[阅读全文]
-
软件破解新手进化篇
1.软件怎么判断我们是否注册了?
不要忘了,软件最终是按照人的思维做的,我们回到自身来,“如果是你,你怎么判断别人是否注册了呢”,...
[阅读全文]
-
我要评论
网友评论