好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 81665488 于 2009-11-8 12:25 编辑
偶不太清楚给19楼的朋友的回复是否有用词不当的.还希望19楼的朋友和版主理解如果版主觉得偶有用词不当的行为那就麻烦版主帮忙改一下把.嘻嘻,或通知我一声俺自己改
回复22楼的朋友
软件名称:QQ伴侣
准备工具:PEID,OllyDbg,LordPE,ImportREC.
首先使用PEID查壳结果为
ASPack 2.12 -> Alexey Solodovnikov
004FF001 60 pushad \\这里就是ASPack 2.12 -> Alexey Solodovnikov 壳的入口了
004FF002 E8 03000000 call QQ伴侣.004FF00A
004FF007 - E9 EB045D45 jmp 45ACF4F7
004FF00C 55 push ebp
004FF00D C3 retn
004FF00E E8 01000000 call QQ伴侣.004FF014
004FF013 EB 5D jmp short QQ伴侣.004FF072
004FF015 BB EDFFFFFF mov ebx,-13
004FF01A 03DD add ebx,ebp
004FF01C 81EB 00F00F00 sub ebx,0FF000
004FF022 83BD 22040000 0>cmp dword ptr ss:[ebp+422],0
004FF029 899D 22040000 mov dword ptr ss:[ebp+422],ebx
004FF02F 0F85 65030000 jnz QQ伴侣.004FF39A
004FF035 8D85 2E040000 lea eax,dword ptr ss:[ebp+42E]
004FF03B 50 push eax
004FF03C FF95 4D0F0000 call dword ptr ss:[ebp+F4D]
004FF042 8985 26040000 mov dword ptr ss:[ebp+426],eax
004FF048 8BF8 mov edi,eax
004FF04A 8D5D 5E lea ebx,dword ptr ss:[ebp+5E]
004FF04D 53 push ebx
ESP定律......
00401360 68 401A4000 push QQ伴侣.00401A40 ; ASCII "VB5!6&vb6chs.dll" \\程序的入口...
00401365 E8 EEFFFFFF call QQ伴侣.00401358 ; jmp 到 msvbvm60.ThunRTMain
0040136A 0000 add byte ptr ds:[eax],al
0040136C 40 inc eax
打开LordPE 选中你OD载入的QQ伴侣进程...右键单击,修正镜像大小,右键单击,完整转存,保存.关闭LordPE 打开ImportREC选中你OD载入的QQ伴侣进程 OEP地址 00401360-00400000=1360 我们在OPE添1360就可以了 自动查找IAT,获取输入表,显示无效函数,修复转存文件,选择你刚才保存的程序OK脱壳完成
第二步 去自校验.
OD载入刚才修复好的文件
00401360 > $ 68 401A4000 push dumped_.00401A40 ; ASCII "VB5!6&vb6chs.dll"
00401365 . E8 EEFFFFFF call <jmp.&msvbvm60.ThunRTMain>
0040136A . 0000 add byte ptr ds:[eax],al
0040136C . 40 inc eax
我们Ctrl+G 00403A84 下面就是大小验证的地方了,我们先随便找一个空数据的地址汇编成 retn 然后记下你修改的地址,,,
我修改的地址是0046CFFF着个地址...编辑的时候要倒着写,,,我修改的地址就变成了FF CF 46 00
00403A84 \02124000 dd <jmp.&msvbvm60.rtcFileLen> \\来到这里,Ctrl+E编辑把你修改的地址写上(FF CF 46 00)
之后右键单击,复制可执行文件-所有修改-全部复制,右键单击,保存文件-保存.
第三部去弹窗广告
伴侣在我的电脑没见弹窗出来
如果要去除右上角的广告条
004154B0 68 db 68
改为
004154B0 00 db 00
就可以了
llpplplp 发表于 2009-10-25 19:40
大家要是找不到地址可以Ctrl+B输入68 00 00 00 02查找即可
没有技术含量,,,高手飘过.... |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|