新手手动脱tElock 0.92a -> tE!的壳

boteli

大家好。我是新手。（第一次写教程，口才不好大家不要见怪啊~！）几天前。我要求别人帮我脱tElock 0.92a这个壳的时候被版主给扣分了。还扣了违规，经过几天的学习，实际。自己终于学会脱这个壳了。论坛上小鸡大哥已经放出来了（http://www.52pojie.cn/viewthread.php?tid=34210&highlight=tElock%2B0.92a%2B）。。但是他那个不适合新手。。现在我教大家一个比较简单的方法。。载入OD的入口，见图一





现在我们用最后一次异常法     OD去掉所有错误。。。就是调试选项里面除了忽略在KERNEL32中发生的内存访问异常钩不要去掉。。
下面都去掉。然后我们隐藏OD插件。。开始按shift+f9看看程序按几下才运行。记住一点就是如果你按N下就运行程序，那么你要按N-1次才行。
我按了16下就停在了这里。。见图




然后我们看下右下角注释里面有句 SE句柄   004E52D5  就是这个   见图







看到这个。。然后我用快捷方式按CTRL+G    输入004E52D5 按回车

到了这里。。见图   （黄色的地方）



然后按下F2，再按下shift+F9 最后再按下F2 ， 下面单步往下面走。按F8走，一直走。。走到这里有个往回跳的，这个时候我们在下面一句话里按下F4，见图
（黄色这里是代表往回跳，然后我们就在蓝色这里点下然后按下F4，再然后我们继续按F8往下走。）





一直按F8走到了这里。这里就是OEP的入口点。见图




然后我们按F8进去。然后脱壳。见图  （PS：我是用LordPE脱壳的。脱壳之前先要在进程里面选择你正在脱壳的文件，然后在修正映像大小。。最后在完全脱壳）





现在我们运行脱壳的软件就出错误。。我们要修复软件。先关掉OD，接着打开没有脱壳的软件Hzbit.exe，然后打开Import Fix 1.6这个软件  再然后我们打开Import Fix 1.6在进程里面选择我们已经打开的软件。找到后。我们在OEP里面填写 A301C  （这时会有人问我  A301C 是哪里来的~！  这个我就不说了。。。如果这个都不懂。。那我无语了。。）然后点自动查找IAT。接着点下获取输入表，最后点下显示无效的。就出现了很多代码。。见图。。。






最后一步就是最关键的。。。如果我们直接右键然后在弹出菜单里选择跟踪3的话，那样会死程序的。。最好的方法就是一个个弄。。就是一个个右键选择跟踪3.
最后都修复好了后，你在点下显示无效。然后在变蓝色的代码这里右键。选择剪切指针。。最后点下修复转存文件，就是选择你脱壳后的软件。。最后退出。运行修复后的文件OK正常了。。。

（好了教程就写到这里了。。第一次写。大家多多原谅啊。。下面我拿这个软件给大家实验下。。这个软件就是论坛里有个叫  小鸡拜拜  的老大的）



telock.rar (957.11 KB, 下载次数: 41)

2010-7-10 22:43 上传

点击文件名下载附件

PS:版主  能不能把我违规给弄掉啊。。。谢谢了。。

boteli

沙发自己先坐。。哈哈。。

huangkb

路过,看看~~~~~~~~~~~

q3108771

哇。  自己脱。。。


甚是YY。。

xu1122

回复 2# boteli


    这种老壳，PEID自带的插件就能搞定了。 文字叙述很难明白的，建议你写个教程，通过之后我给你去违规

boteli

不是吧。。这个文字还说不清楚啊。。怎么操作写的很详细了。还带了图片了。。

justu

谢谢你的分享

楼主继续加油~

tysan

强烈要求写个教程

  图有时候看的不太明白

曹无咎

不错，前几天也遇到这么一个壳，老杯具了

小生我怕怕

CODE段下内存写入,运行
二进制查找61C6????????????74
004E4DE9    C685 5EAC4000 0>mov byte ptr ss:[ebp+0x40AC5E],0x0  //F2下断
004E4DF0    74 07           je short Hzbit.004E4DF9           //改JMP
004E4DF2    808D 5EAC4000 0>or byte ptr ss:[ebp+0x40AC5E],0x1
在次在CODE段F2下断,运行即停在OEP