小白脱壳追码记（高手请绕道）

wjgboy · 发表于 2018-2-25 21:23

小弟学习逆向几天了，今天拿来一个小软件练手。以下是脱壳追码过程，高手请绕道。呵呵……１、查壳，发现是UPX壳

查壳

2、载入OD，手动脱壳（用著名的ESP大法^-^）

终于来到OEP了，哈哈，接下来就手动脱壳啦

保存后就没有壳了！

3、OD载入脱壳后的程序，开始追码
F9运行程序，根据“注册码错误”查找字符串

找到相应的字符串后，双击跟进

向上找到关键跳

F7跟进关键CALL，单步几下，堆栈窗口中就出现注册码了！

最后有个问题想请教大家，下图中的文字我始终无法修改！！

Ring.rar (438.12 KB, 下载次数: 55)

Hmily · 发表于 2018-2-26 17:34

@wjgboy 赶紧把你那peid换成原版吧，那改版权简直太无耻了，什么都没弄就把标题和图片换成广告了，要么用Exeinfo Pe也很推荐。

你的字符串修改问题可以通过资源编辑工具修改：

zhaotianrun · 发表于 2018-2-26 19:52

Hmily 发表于 2018-2-26 17:34
@wjgboy 赶紧把你那peid换成原版吧，那改版权简直太无耻了，什么都没弄就把标题和图片换成广告了，要么用Ex ...

支持hmily，有些人总是乱改别人的软件，例子我们都应该知道

paa5614231 · 发表于 2018-2-25 21:31

谢楼主分享

byh3025 · 发表于 2018-2-25 21:40

在数据窗口修改

newchange452pj · 发表于 2018-2-25 21:42

收藏了，有时间我也来追追

wjgboy · 发表于 2018-2-25 21:42

byh3025 发表于 2018-2-25 21:40
在数据窗口修改

我一直没找到修改的地方，请您详细指教。

byh3025 · 发表于 2018-2-25 21:58

wjgboy 发表于 2018-2-25 21:42
我一直没找到修改的地方，请您详细指教。

你有没有搜索到你要修改的字符串？

wjgboy · 发表于 2018-2-25 22:03

byh3025 发表于 2018-2-25 21:58
你有没有搜索到你要修改的字符串？

没有，数据窗口中也搜索不到。

byh3025 · 发表于 2018-2-25 22:13

wjgboy 发表于 2018-2-25 22:03
没有，数据窗口中也搜索不到。

在内存中搜索试下

跌宕起伏 · 发表于 2018-2-25 22:15

看完你的ESP脱壳就知道你没学仔细

找到OEP 删除硬件断点的记录没有做

之后是尽量不用OD自带的脱壳程序使用PE修复函数把

wjgboy · 发表于 2018-2-25 22:18

跌宕起伏发表于 2018-2-25 22:15
看完你的ESP脱壳就知道你没学仔细

谢谢！以后我一定注意。

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 小白脱壳追码记（高手请绕道）