您的位置:首页精文荟萃破解文章 → 脱Flashfxp 1.4的壳

脱Flashfxp 1.4的壳

时间:2004/10/15 0:50:00来源:本站整理作者:蓝点我要评论(0)

 

Flashfxp 1.4用fi查不出是加的什么壳,后来看到精品讨论汉化这个东西的时候才知道用的是telock。telock的壳保护很强,好像要比aspr的麻烦。我学脱这个还为时尚早,不过早晚都要碰的,花了n个小时来搞定它。特写此文,让你觉得脱telock的壳好像会很easy;-)


unpack(2001.9.26)

    Flashfxp 1.4是用delphi写的,hoho运气真好:),更新一下用快速寻找delphi程序入口的方法(试过才知道我以前的方法=脱裤子放屁):执行Flashfxp 1.4,接着用winhex编辑Flashfxp的主内存,选择搜索文本,填runtime,执行搜索,搜到后,向前找到离runtime最近的机器码为55 8B EC的地方就是程序的oep,对应的地址是0052B8B0,ok完活。

    ok,下面要在入口处脱壳,老规矩打开SuperBPM,点erase,用trw1.03娃娃修改过的版(因为其他任意一版trw都会死机的)载入Flashfxp,下g 0052B8B0,下suspend,用prodump选dump(full),非法操作,我倒~~~~~,怎么这么麻烦呀:(,后来参考一下hying和fpc大哥的关于telock的脱壳资料,hoho,telock会把原来的section数改写为ffff,所以只要把原来的section数写回去就行:)。用winhex内存编辑功能把400106-400107填回原来的值0900,再用prodump就成功啦。

    接着修复import table

天哪,这都是什么乱七八糟的呀。it完全被telock改的面目全非了,用ImportREC根本无法修复。没办法跟踪程序吧,从telock重建It部分开始吧,用加了superbpm和icedump的s-ice重新载入Flashfxp,下bpm 870000,f5。在这里停下:

0187:00576E02 FF0424            INC    DWord Ptr [ESP]
0187:00576E05 891F              MOV    [EDI],EBX
0187:00576E07 83C304            ADD    EBX,00000004
0187:00576E0A 83C704            ADD    EDI,00000004
0187:00576E0D 83242403          AND    DWord Ptr [ESP],00000003
0187:00576E11 833C2400          CMP    DWord Ptr [ESP],00000000
0187:00576E15 742E              JZ      00576E45
0187:00576E17 833C2401          CMP    DWord Ptr [ESP],00000001
0187:00576E1B 7430              JZ      00576E4D
0187:00576E1D 833C2402          CMP    DWord Ptr [ESP],00000002
0187:00576E21 7447              JZ      00576E6A
0187:00576E23 C144240C10        ROL    DWord Ptr [ESP+0C],10
0187:00576E28 668B44240C        MOV    AX,[ESP+0C]
0187:00576E2D 66AB              STOSW
0187:00576E2F 8BC3              MOV    EAX,EBX
0187:00576E31 C1E803            SHR    EAX,03
0187:00576E34 83E003            AND    EAX,00000003
0187:00576E37 8A440404          MOV    AL,[ESP+1*EAX+04]
0187:00576E3B AA                STOSB
0187:00576E3C B0C3              MOV    AL,C3
0187:00576E3E AA                STOSB
0187:00576E3F 66B8FF35          MOV    AX,35FF
0187:00576E43 EB2D              JMP    00576E72
0187:00576E45 8B442408          MOV    EAX,[ESP+08]
0187:00576E49 AB                STOSD
0187:00576E4A 4F                DEC    EDI
0187:00576E4B EBEF              JMP    00576E3C
0187:00576E4D 668B44240C        MOV    AX,[ESP+0C]
0187:00576E52 66AB              STOSW
0187:00576E54 B0C3              MOV    AL,C3
0187:00576E56 AA                STOSB
0187:00576E57 8BC3              MOV    EAX,EBX
0187:00576E59 C1E803            SHR    EAX,03
0187:00576E5C 83E003            AND    EAX,00000003
0187:00576E5F 8A440404          MOV    AL,[ESP+1*EAX+04]
0187:00576E63 AA                STOSB
0187:00576E64 66B8FF35          MOV    AX,35FF
0187:00576E68 EB08              JMP    00576E72
0187:00576E6A 8B442410          MOV    EAX,[ESP+10]
0187:00576E6E AB                STOSD
0187:00576E6F 4F                DEC    EDI
0187:00576E70 EBCA              JMP    00576E3C
0187:00576E72 E28C              LOOP    00576E00
0187:00576E74 66AB              STOSW
0187:00576E76 83C414            ADD    ESP,00000014
0187:00576E79 61                POPAD
0187:00576E7A 89BDAAB04000      MOV    [EBP+0040B0AA],EDI    //MOV [EBP+0040B0AA],EBX
              899DAAB04000
0187:00576E80 8BBDAAB04000      MOV    EDI,[EBP+0040B0AA]    //MOV EDI,[EBP+0040B0B2]
              8BBDB2B04000
0187:00576E86 8B85B2B04000      MOV    EAX,[EBP+0040B0B2]
0187:00576E8C 0385AAAF4000      ADD    EAX,[EBP+0040AFAA]
0187:00576E92 8B8DAEB04000      MOV    ECX,[EBP+0040B0AE]
0187:00576E98 8908              MOV    [EAX],ECX              //将函数名写到正确的位置
0187:00576E9A 8385AEB040000A    ADD    DWord Ptr [EBP+0040B0AE],0000000A
0187:00576EA1 EB08              JMP    00576EAB
0187:00576EA3 838DAAB04000FF    OR      DWord Ptr [EBP+0040B0AA],FFFFFFFF
0187:00576EAA 61                POPAD
0187:00576EAB 03BDAAAF4000      ADD    EDI,[EBP+0040AFAA]
0187:00576EB1 85DB              TEST    EBX,EBX
0187:00576EB3 0F84B4000000      JZ      00576F6D
0187:00576EB9 F7C300000080      TEST    EBX,80000000
0187:00576EBF 6A00              PUSH    00000000
0187:00576EC1 7506              JNZ    00576EC9
0187:00576EC3 8D5C1302          LEA    EBX,[EBX+1*EDX+02]
0187:00576EC7 EB3C              JMP    00576F05
0187:00576EC9 FF0424            INC    DWord Ptr [ESP]
0187:00576ECC 8B85A6AF4000      MOV    EAX,[EBP+0040AFA6]
0187:00576ED2 3B859AB04000      CMP    EAX,[EBP+0040B09A]
0187:00576ED8 752B              JNZ    00576F05
0187:00576EDA 81E3FFFFFF7F      AND    EBX,7FFFFFFF
0187:00576EE0 8BD3              MOV    EDX,EBX
0187:00576EE2 8D1495FCFFFFFF    LEA    EDX,[FFFFFFFC+4*EDX]
0187:00576EE9 8B9DA6AF4000      MOV    EBX,[EBP+0040AFA6]
0187:00576EEF 8B433C            MOV    EAX,[EBX+3C]
0187:00576EF2 8B441878          MOV    EAX,[EAX+1*EBX+78]
0187:00576EF6 035C181C          ADD    EBX,[EAX+1*EBX+1C]
0187:00576EFA 8B041A            MOV    EAX,[EDX+1*EBX]
0187:00576EFD 0385A6AF4000      ADD    EAX,[EBP+0040AFA6]
0187:00576F03 EB13              JMP    00576F18
0187:00576F05 81E3FFFFFF7F      AND    EBX,7FFFFFFF
0187:00576F0B 53                PUSH    EBX
0187:00576F0C FFB5A6AF4000      PUSH    DWord Ptr [EBP+0040AFA6]
0187:00576F12 FF9514AF4000      CALL    Near [`KERNEL32!GetProcAddress`]  //读取函数名
0187:00576F18 40                INC    EAX
0187:00576F19 48                DEC    EAX
0187:00576F1A 7532              JNZ    00576F4E
0187:00576F1C 58                POP    EAX
0187:00576F1D F9                STC   
0187:00576F1E 0F829BFDFFFF      JB      00576CBF
0187:00576F24 47                INC    EDI
0187:00576F25 44                INC    ESP
0187:00576F26 49                DEC    ECX
0187:00576F27 3332              XOR    ESI,[EDX]
0187:00576F29 2E44              INC    ESP
0187:00576F2B 4C                DEC    ESP
0187:00576F2C 4C                DEC    ESP
0187:00576F2D 55                PUSH    EBP
0187:00576F2E 53                PUSH    EBX
0187:00576F2F 45                INC    EBP
0187:00576F30 52                PUSH    EDX
0187:00576F31 3332              XOR    ESI,[EDX]
0187:00576F33 2E44              INC    ESP
0187:00576F35 4C                DEC    ESP
0187:00576F36 4C                DEC    ESP
0187:00576F37 53                PUSH    EBX
0187:00576F38 48                DEC    EAX
0187:00576F39 45                INC    EBP
0187:00576F3A 4C                DEC    ESP
0187:00576F3B 4C                DEC    ESP
0187:00576F3C 3332              XOR    ESI,[EDX]
0187:00576F3E 2E44              INC    ESP
0187:00576F40 4C                DEC    ESP
0187:00576F41 4C                DEC    ESP
0187:00576F42 4B                DEC    EBX
0187:00576F43 45                INC    EBP
0187:00576F44 52                PUSH    EDX
0187:00576F45 4E                DEC    ESI
0187:00576F46 45                INC    EBP
0187:00576F47 4C                DEC    ESP
0187:00576F48 3332              XOR    ESI,[EDX]
0187:00576F4A 2E44              INC    ESP
0187:00576F4C 4C                DEC    ESP
0187:00576F4D 4C                DEC    ESP
0187:00576F4E 8907              MOV    [EDI],EAX            //把函数名写回去
0187:00576F50 58                POP    EAX
0187:00576F51 48                DEC    EAX
0187:00576F52 740D              JZ      00576F61
0187:00576F54 40                INC    EAX
0187:00576F55 F8                CLC   
0187:00576F56 668943FE          MOV    [EBX-02],AX
0187:00576F5A 8803              MOV    [EBX],AL
0187:00576F5C 43                INC    EBX
0187:00576F5D 3803              CMP    [EBX],AL
0187:00576F5F 75F9              JNZ    00576F5A
0187:00576F61 8385AAAF400004    ADD    DWord Ptr [EBP+0040AFAA],00000004  //继续下一个
0187:00576F68 E9D4FDFFFF        JMP    00576D41
0187:00576F6D 83C614            ADD    ESI,00000014
0187:00576F70 8B95BEAF4000      MOV    EDX,[EBP+0040AFBE]
0187:00576F76 E9B1FCFFFF        JMP    00576C2C
0187:00576F7B 61                POPAD

sorry啊,我的表达能力太差了,我只能读懂那段的意思,实在是说不出来,语文没学好:(,按我改的做吧,就可以把正确的函数写到正确的位置去,具体有兴趣自己跟一下吧,看看就知道了。

这样做完所有的函数都可以认出,但还有一个问题,wokao这个同样也很难表达,就是该分段的地址还是被telock破坏掉了,就是原来是00000000的地方被telock写进了垃圾代码,ImportREC这时就抓瞎了,还认为这有东西呢,所以我们必须把它还原,在原来的地址写回00000000。如何找呢,这个我还没找到easy的方法,哪位大脱哥有好方法别保留呀,教教偶吧:)。我的方法:在程序破坏it之前把it的结构导出,记下分段地址,然后在程序的领空bpm 这个地址 w,在被telock破坏后,手工填回去。例如:load程序,下bpm 870000,下g,先把我前面说的要改的地方改了,然后下a eip,jmp eip,f5。接着用ImportREC提取未破坏的it结构,找到第一个分段处(我不知道这个改怎么叫),是00533268,然后按ctrl+d返回程序,把刚才改的jmp eip还原回去,下,bpm 533268 w,g,被拦到,下dd 533268 把垃圾代码写回00000000,以此类推,还好只需要改22次,不累吧,比手工填函数可快多了呀。最后按f5退出,用ImportREC重建it成功,别忘了把dump_.exe的oep改成0012B8B0。

完活,哪位最后有其他好方法可用的话,千万记得告诉我呀,谢啦。
最后,论坛精华3中的脱壳文章不是太旧就是太少了,偶想把它充实些,不过力不从心,让我在短时期内搞这么多东西实在是太xxxx了。偶再过几天就要去学校报道了,这次要住校,tmd又要去浪费time了,我不可能把我的55gb的资料全带过去,所以,唉......在此之前我能赶多少算多少吧,自己研究真的好麻烦:(。这种教育制度纯属是浪费time,三个词送给它shit,fuck,ft。
sorry过于激动了,到此为止,写这些废话是因为刚收到的录取通知。


感谢你能够坚持下来hoho:)

下载:http://zombieys.cn.hongnet.com/FlashFXP14.rar


最后贴个key,51/唐朝/精品,都有提供,谢谢他们了:)
让我算这个key?下辈子吧,不过偶到是看到1.3的keygen了,mo god~~~~~~

-------- FlashFXP Registration Data START --------
Susan Kennedy
N/A
sulusux@subspacemail.com
00000001
09-22-2001
4vUA6=EdIUAN9R+htrOcAcwOLmRKBi55oEj7aZ2W2Ua
mTLay0Gy=4lVgvE8T6SLhzUuUOzYiyphrY1z4soKJT+
jxByazfcFCRXXM7gIPjRCL3tf8gw+oKAHwaEtP+6vq
-------- FlashFXP Registration Data END --------





    
    
     
    
    
     

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 去除winrar注册框方法

最新文章 比特币病毒怎么破解 比去除winrar注册框方法 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据

人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程