Flashfxp 1.4用fi查不出是加的什么壳,后来看到精品讨论汉化这个东西的时候才知道用的是telock。telock的壳保护很强,好像要比aspr的麻烦。我学脱这个还为时尚早,不过早晚都要碰的,花了n个小时来搞定它。特写此文,让你觉得脱telock的壳好像会很easy;-)
unpack(2001.9.26)
Flashfxp 1.4是用delphi写的,hoho运气真好:),更新一下用快速寻找delphi程序入口的方法(试过才知道我以前的方法=脱裤子放屁):执行Flashfxp 1.4,接着用winhex编辑Flashfxp的主内存,选择搜索文本,填runtime,执行搜索,搜到后,向前找到离runtime最近的机器码为55 8B EC的地方就是程序的oep,对应的地址是0052B8B0,ok完活。
ok,下面要在入口处脱壳,老规矩打开SuperBPM,点erase,用trw1.03娃娃修改过的版(因为其他任意一版trw都会死机的)载入Flashfxp,下g 0052B8B0,下suspend,用prodump选dump(full),非法操作,我倒~~~~~,怎么这么麻烦呀:(,后来参考一下hying和fpc大哥的关于telock的脱壳资料,hoho,telock会把原来的section数改写为ffff,所以只要把原来的section数写回去就行:)。用winhex内存编辑功能把400106-400107填回原来的值0900,再用prodump就成功啦。
接着修复import table
天哪,这都是什么乱七八糟的呀。it完全被telock改的面目全非了,用ImportREC根本无法修复。没办法跟踪程序吧,从telock重建It部分开始吧,用加了superbpm和icedump的s-ice重新载入Flashfxp,下bpm 870000,f5。在这里停下:
0187:00576E02 FF0424 INC DWord Ptr [ESP]
0187:00576E05 891F MOV [EDI],EBX
0187:00576E07 83C304 ADD EBX,00000004
0187:00576E0A 83C704 ADD EDI,00000004
0187:00576E0D 83242403 AND DWord Ptr [ESP],00000003
0187:00576E11 833C2400 CMP DWord Ptr [ESP],00000000
0187:00576E15 742E JZ 00576E45
0187:00576E17 833C2401 CMP DWord Ptr [ESP],00000001
0187:00576E1B 7430 JZ 00576E4D
0187:00576E1D 833C2402 CMP DWord Ptr [ESP],00000002
0187:00576E21 7447 JZ 00576E6A
0187:00576E23 C144240C10 ROL DWord Ptr [ESP+0C],10
0187:00576E28 668B44240C MOV AX,[ESP+0C]
0187:00576E2D 66AB STOSW
0187:00576E2F 8BC3 MOV EAX,EBX
0187:00576E31 C1E803 SHR EAX,03
0187:00576E34 83E003 AND EAX,00000003
0187:00576E37 8A440404 MOV AL,[ESP+1*EAX+04]
0187:00576E3B AA STOSB
0187:00576E3C B0C3 MOV AL,C3
0187:00576E3E AA STOSB
0187:00576E3F 66B8FF35 MOV AX,35FF
0187:00576E43 EB2D JMP 00576E72
0187:00576E45 8B442408 MOV EAX,[ESP+08]
0187:00576E49 AB STOSD
0187:00576E4A 4F DEC EDI
0187:00576E4B EBEF JMP 00576E3C
0187:00576E4D 668B44240C MOV AX,[ESP+0C]
0187:00576E52 66AB STOSW
0187:00576E54 B0C3 MOV AL,C3
0187:00576E56 AA STOSB
0187:00576E57 8BC3 MOV EAX,EBX
0187:00576E59 C1E803 SHR EAX,03
0187:00576E5C 83E003 AND EAX,00000003
0187:00576E5F 8A440404 MOV AL,[ESP+1*EAX+04]
0187:00576E63 AA STOSB
0187:00576E64 66B8FF35 MOV AX,35FF
0187:00576E68 EB08 JMP 00576E72
0187:00576E6A 8B442410 MOV EAX,[ESP+10]
0187:00576E6E AB STOSD
0187:00576E6F 4F DEC EDI
0187:00576E70 EBCA JMP 00576E3C
0187:00576E72 E28C LOOP 00576E00
0187:00576E74 66AB STOSW
0187:00576E76 83C414 ADD ESP,00000014
0187:00576E79 61 POPAD
0187:00576E7A 89BDAAB04000 MOV [EBP+0040B0AA],EDI //MOV [EBP+0040B0AA],EBX
899DAAB04000
0187:00576E80 8BBDAAB04000 MOV EDI,[EBP+0040B0AA] //MOV EDI,[EBP+0040B0B2]
8BBDB2B04000
0187:00576E86 8B85B2B04000 MOV EAX,[EBP+0040B0B2]
0187:00576E8C 0385AAAF4000 ADD EAX,[EBP+0040AFAA]
0187:00576E92 8B8DAEB04000 MOV ECX,[EBP+0040B0AE]
0187:00576E98 8908 MOV [EAX],ECX //将函数名写到正确的位置
0187:00576E9A 8385AEB040000A ADD DWord Ptr [EBP+0040B0AE],0000000A
0187:00576EA1 EB08 JMP 00576EAB
0187:00576EA3 838DAAB04000FF OR DWord Ptr [EBP+0040B0AA],FFFFFFFF
0187:00576EAA 61 POPAD
0187:00576EAB 03BDAAAF4000 ADD EDI,[EBP+0040AFAA]
0187:00576EB1 85DB TEST EBX,EBX
0187:00576EB3 0F84B4000000 JZ 00576F6D
0187:00576EB9 F7C300000080 TEST EBX,80000000
0187:00576EBF 6A00 PUSH 00000000
0187:00576EC1 7506 JNZ 00576EC9
0187:00576EC3 8D5C1302 LEA EBX,[EBX+1*EDX+02]
0187:00576EC7 EB3C JMP 00576F05
0187:00576EC9 FF0424 INC DWord Ptr [ESP]
0187:00576ECC 8B85A6AF4000 MOV EAX,[EBP+0040AFA6]
0187:00576ED2 3B859AB04000 CMP EAX,[EBP+0040B09A]
0187:00576ED8 752B JNZ 00576F05
0187:00576EDA 81E3FFFFFF7F AND EBX,7FFFFFFF
0187:00576EE0 8BD3 MOV EDX,EBX
0187:00576EE2 8D1495FCFFFFFF LEA EDX,[FFFFFFFC+4*EDX]
0187:00576EE9 8B9DA6AF4000 MOV EBX,[EBP+0040AFA6]
0187:00576EEF 8B433C MOV EAX,[EBX+3C]
0187:00576EF2 8B441878 MOV EAX,[EAX+1*EBX+78]
0187:00576EF6 035C181C ADD EBX,[EAX+1*EBX+1C]
0187:00576EFA 8B041A MOV EAX,[EDX+1*EBX]
0187:00576EFD 0385A6AF4000 ADD EAX,[EBP+0040AFA6]
0187:00576F03 EB13 JMP 00576F18
0187:00576F05 81E3FFFFFF7F AND EBX,7FFFFFFF
0187:00576F0B 53 PUSH EBX
0187:00576F0C FFB5A6AF4000 PUSH DWord Ptr [EBP+0040AFA6]
0187:00576F12 FF9514AF4000 CALL Near [`KERNEL32!GetProcAddress`] //读取函数名
0187:00576F18 40 INC EAX
0187:00576F19 48 DEC EAX
0187:00576F1A 7532 JNZ 00576F4E
0187:00576F1C 58 POP EAX
0187:00576F1D F9 STC
0187:00576F1E 0F829BFDFFFF JB 00576CBF
0187:00576F24 47 INC EDI
0187:00576F25 44 INC ESP
0187:00576F26 49 DEC ECX
0187:00576F27 3332 XOR ESI,[EDX]
0187:00576F29 2E44 INC ESP
0187:00576F2B 4C DEC ESP
0187:00576F2C 4C DEC ESP
0187:00576F2D 55 PUSH EBP
0187:00576F2E 53 PUSH EBX
0187:00576F2F 45 INC EBP
0187:00576F30 52 PUSH EDX
0187:00576F31 3332 XOR ESI,[EDX]
0187:00576F33 2E44 INC ESP
0187:00576F35 4C DEC ESP
0187:00576F36 4C DEC ESP
0187:00576F37 53 PUSH EBX
0187:00576F38 48 DEC EAX
0187:00576F39 45 INC EBP
0187:00576F3A 4C DEC ESP
0187:00576F3B 4C DEC ESP
0187:00576F3C 3332 XOR ESI,[EDX]
0187:00576F3E 2E44 INC ESP
0187:00576F40 4C DEC ESP
0187:00576F41 4C DEC ESP
0187:00576F42 4B DEC EBX
0187:00576F43 45 INC EBP
0187:00576F44 52 PUSH EDX
0187:00576F45 4E DEC ESI
0187:00576F46 45 INC EBP
0187:00576F47 4C DEC ESP
0187:00576F48 3332 XOR ESI,[EDX]
0187:00576F4A 2E44 INC ESP
0187:00576F4C 4C DEC ESP
0187:00576F4D 4C DEC ESP
0187:00576F4E 8907 MOV [EDI],EAX //把函数名写回去
0187:00576F50 58 POP EAX
0187:00576F51 48 DEC EAX
0187:00576F52 740D JZ 00576F61
0187:00576F54 40 INC EAX
0187:00576F55 F8 CLC
0187:00576F56 668943FE MOV [EBX-02],AX
0187:00576F5A 8803 MOV [EBX],AL
0187:00576F5C 43 INC EBX
0187:00576F5D 3803 CMP [EBX],AL
0187:00576F5F 75F9 JNZ 00576F5A
0187:00576F61 8385AAAF400004 ADD DWord Ptr [EBP+0040AFAA],00000004 //继续下一个
0187:00576F68 E9D4FDFFFF JMP 00576D41
0187:00576F6D 83C614 ADD ESI,00000014
0187:00576F70 8B95BEAF4000 MOV EDX,[EBP+0040AFBE]
0187:00576F76 E9B1FCFFFF JMP 00576C2C
0187:00576F7B 61 POPAD
sorry啊,我的表达能力太差了,我只能读懂那段的意思,实在是说不出来,语文没学好:(,按我改的做吧,就可以把正确的函数写到正确的位置去,具体有兴趣自己跟一下吧,看看就知道了。
这样做完所有的函数都可以认出,但还有一个问题,wokao这个同样也很难表达,就是该分段的地址还是被telock破坏掉了,就是原来是00000000的地方被telock写进了垃圾代码,ImportREC这时就抓瞎了,还认为这有东西呢,所以我们必须把它还原,在原来的地址写回00000000。如何找呢,这个我还没找到easy的方法,哪位大脱哥有好方法别保留呀,教教偶吧:)。我的方法:在程序破坏it之前把it的结构导出,记下分段地址,然后在程序的领空bpm 这个地址 w,在被telock破坏后,手工填回去。例如:load程序,下bpm 870000,下g,先把我前面说的要改的地方改了,然后下a eip,jmp eip,f5。接着用ImportREC提取未破坏的it结构,找到第一个分段处(我不知道这个改怎么叫),是00533268,然后按ctrl+d返回程序,把刚才改的jmp eip还原回去,下,bpm 533268 w,g,被拦到,下dd 533268 把垃圾代码写回00000000,以此类推,还好只需要改22次,不累吧,比手工填函数可快多了呀。最后按f5退出,用ImportREC重建it成功,别忘了把dump_.exe的oep改成0012B8B0。
完活,哪位最后有其他好方法可用的话,千万记得告诉我呀,谢啦。
最后,论坛精华3中的脱壳文章不是太旧就是太少了,偶想把它充实些,不过力不从心,让我在短时期内搞这么多东西实在是太xxxx了。偶再过几天就要去学校报道了,这次要住校,tmd又要去浪费time了,我不可能把我的55gb的资料全带过去,所以,唉......在此之前我能赶多少算多少吧,自己研究真的好麻烦:(。这种教育制度纯属是浪费time,三个词送给它shit,fuck,ft。
sorry过于激动了,到此为止,写这些废话是因为刚收到的录取通知。
感谢你能够坚持下来hoho:)
下载:http://zombieys.cn.hongnet.com/FlashFXP14.rar
最后贴个key,51/唐朝/精品,都有提供,谢谢他们了:)
让我算这个key?下辈子吧,不过偶到是看到1.3的keygen了,mo god~~~~~~
-------- FlashFXP Registration Data START --------
Susan Kennedy
N/A
sulusux@subspacemail.com
00000001
09-22-2001
4vUA6=EdIUAN9R+htrOcAcwOLmRKBi55oEj7aZ2W2Ua
mTLay0Gy=4lVgvE8T6SLhzUuUOzYiyphrY1z4soKJT+
jxByazfcFCRXXM7gIPjRCL3tf8gw+oKAHwaEtP+6vq
-------- FlashFXP Registration Data END --------
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
热门文章 去除winrar注册框方法
最新文章
比特币病毒怎么破解 比去除winrar注册框方法
华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据
人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程
查看所有0条评论>>