好友
阅读权限10
听众
最后登录1970-1-1
|
话说,我也是因为无聊,之前做游戏服务端模拟开发,刚要与客户端同步,就更新了,每次我要脱壳,游戏又更新了.越来越烦,逼得自己一直在学逆向工程
昨天晚上刚做完调试,游戏又更新了,我崩溃了,对针的版本我百分百肯定是TMD壳,但是不知道是什么壳,程序应该带签名,还有Debugport检测重启,于是在没有人发布过脱壳相关资源的情况下,我又来暴力破解了
脱壳帮助工具:Auto Debug ProfessionV5.7
好了,话不多上开始操刀上手,由于本人是菜菜菜鸟级别,高手别喷,只是给那些脱强壳的朋友们个快速办法
第一步,打开Auto Debug,调试你要的程序,然后对你熟悉的API或者可能要运行的API,截获下来,然后运行,不管报不错不用理,接下来就可以看截获下来的堆栈包信息,看return 地址
于是跟着一步一步往上走,OEP离你不远
但是我跑到了OEP入口点,与原来的入口点做了对比,好像是被偷了字节,还有IAT要修复,这个我就去翻各位大牛的教程了
0083FD83 6A 58 push 0x58 //应该是被偷了吧,程序是VC6的
0083FD85 68 D8809300 push Audition.009380D8
0083FD8A E8 C9770000 call Audition.00847558
0083FD8F 33F6 xor esi,esi
0083FD91 8975 FC mov dword ptr ss:[ebp-0x4],esi
0083FD94 8D45 98 lea eax,dword ptr ss:[ebp-0x68]
0083FD97 50 push eax
0083FD98 E8 D112FC02 call 0380106E
0083FD9D 90 nop
0083FD9E 6A FE push -0x2
0083FDA0 5F pop edi
0083FDA1 897D FC mov dword ptr ss:[ebp-0x4],edi
0083FDA4 B8 4D5A0000 mov eax,0x5A4D
0083FDA9 66:3905 0000400>cmp word ptr ds:[0x400000],ax
0083FDB0 75 38 jnz XAudition.0083FDEA
0083FDB2 A1 3C004000 mov eax,dword ptr ds:[0x40003C]
0083FDB7 81B8 00004000 5>cmp dword ptr ds:[eax+0x400000],0x4550
0083FDC1 75 27 jnz XAudition.0083FDEA
0083FDC3 B9 0B010000 mov ecx,0x10B
0083FDC8 66:3988 1800400>cmp word ptr ds:[eax+0x400018],cx
0083FDCF 75 19 jnz XAudition.0083FDEA
迷糊中.希望各位勇敢的发言....新手发贴多多支持
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2011-10-29 08:41
