手脱tElock 0.98b1 -> tE! 脱壳时的疑问

琅琊竹天

【文章标题】: 手脱tElock 0.98b1 -> tE! 脱壳时的疑问 【文章作者】: 竹子 【软件名称】: SuperProxy代理服务器 【软件大小】: 309 K 【下载地址】: 自己搜索下载 【保护方式】: tElock 0.98b1 【编写语言】: Microsoft Visual C++ 6.0 【使用工具】: 2008版OD天草版，自己修改OD，看雪版OllyICE，ImportREC 1.6 汉化: cao_cong，ImportREC 小生怕怕汉化版 【操作平台】: windows XP3 【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!还有就是一些细节的问题。请各位大虾回答下！！不过没奖励~~！！！ 【使用方法】：最后一次异常（我的疑问所在） ———————————————————————————————— OD载入~~ 004C8BD0    FF6424 04         jmp dword ptr ss:[esp+4] 004C8BD4    0000              add byte ptr ds:[eax],al 004C8BD6 >^ E9 25E4FFFF       jmp SuperPro.004C7000 三款OD入口相同 设置皆为全部异常，其他细节一致。 ———————————————————————————————— shift+F9~！ 看雪版的OLLYICE和天草版的OD都为21次，程序领空，程序跑起~！ 自己修改的OD=23次，系统领空，程序跑起！ 我的疑问之一 如果，那位朋友结果不一样可能机子的问题 可能是吾爱版的BUG吧@@希望有人给我个解释蛤！！我不太明白。 ———————————————————————————————— 自己的OD到位置~~！ 7C801A28 >  8BFF            mov edi,edi 7C801A2A    55              push ebp 7C801A2B    8BEC            mov ebp,esp 7C801A2D    FF75 08         push dword ptr ss:[ebp+0x8] ———————————————————————————————— 然后~~！我放弃了纠结自己修改OD~！(*^__^*) 嘻嘻 使用看雪的，天草的 虽然，这两个不如吾爱破解版的强大。但是，胜在个人喜好！！！不论是哪个版本的OD只要自己用着顺手就好！！ 找到OEP~~！ 00455F19    55                push ebp 00455F1A    8BEC              mov ebp,esp 00455F1C    6A FF             push -1 00455F1E    68 68AE4800       push SuperPro.0048AE68 00455F23    68 485B4500       push SuperPro.00455B48 00455F28    64:A1 00000000    mov eax,dword ptr fs:[0] ———————————————————————————————— 接下，来LORDPE脱壳，没有发现什么异常 单步跑起！！！ OEP··· ———————————————————————————————— 修复IAT， ImportREC 1.6 汉化: cao_cong 跟踪等级3跟踪不到，显示 初始化故障 我以为是OD载入的问题··但是开原程序一样不行！！！ @@@@@@@@@@@@@@@@@@@@@@@@@ ImportREC 小生怕怕汉化版 跟踪到了 修复完毕！ 要一点一点的跟踪 不这里就不演示了！！！ OD载入的时候修复会死掉！！！ 要开原程序！！！ 不能还原的指针直接剪切掉！！！ ———————————————————————————————— 以下为内存镜像二次断点法，我认为脱此壳的简单方法 OD设置，忽略所以异常 然后 Ctrl+M 内存查看 找到.rsrc段 F2下断点。shift+F9~！ 到达 004C80A9    F3:A5             rep movs dword ptr es:[edi],dword > 004C80AB    8BCB              mov ecx,ebx 004C80AD    F3:A4             rep movs byte ptr es:[edi],byte pt> 004C80AF    8BF2              mov esi,edx ———————————————————————————————— 然后，继续ctrl+M 找到 401000的CODE 下F2下断点，shift+f9运行 到达OEP 00455F19    55                push ebp 00455F1A    8BEC              mov ebp,esp 00455F1C    6A FF             push -1 00455F1E    68 68AE4800       push SuperPro.0048AE68 00455F23    68 485B4500       push SuperPro.00455B48 ———————————————————————————————— 望各位大虾解决一下我的疑问！！ 第一次做破解教程大家见谅！！！ 小菜一个请大家指教！！！！！ 小生大大！！不要怪我偷你软件~~！！嘿嘿！！！                                                      以下为动画演示！

http://u.115.com/file/f6ed10cd59教程.rar

mischief1

不错！我迟早也能成功！！！！

小Z

不难..

hixiaosheng

很可能跟你开安全软件也有关系

qq1124586843

嗯关闭安全卫士看看

晴天

我试了一下，成功了