您的位置：首页 → 精文荟萃 → 破解文章 → 脱Flashfxp 1.4的壳

脱Flashfxp 1.4的壳

时间：2004/10/15 0:50:00来源：本站整理作者：蓝点我要评论(0)

　

Flashfxp 1.4用fi查不出是加的什么壳，后来看到精品讨论汉化这个东西的时候才知道用的是telock。telock的壳保护很强，好像要比aspr的麻烦。我学脱这个还为时尚早，不过早晚都要碰的，花了n个小时来搞定它。特写此文，让你觉得脱telock的壳好像会很easy;-)


unpack(2001.9.26)

    Flashfxp 1.4是用delphi写的，hoho运气真好:)，更新一下用快速寻找delphi程序入口的方法(试过才知道我以前的方法=脱裤子放屁)：执行Flashfxp 1.4，接着用winhex编辑Flashfxp的主内存，选择搜索文本，填runtime,执行搜索，搜到后,向前找到离runtime最近的机器码为55 8B EC的地方就是程序的oep，对应的地址是0052B8B0，ok完活。

    ok，下面要在入口处脱壳，老规矩打开SuperBPM，点erase，用trw1.03娃娃修改过的版(因为其他任意一版trw都会死机的)载入Flashfxp，下g 0052B8B0，下suspend，用prodump选dump(full)，非法操作，我倒~~~~~，怎么这么麻烦呀:(，后来参考一下hying和fpc大哥的关于telock的脱壳资料，hoho，telock会把原来的section数改写为ffff,所以只要把原来的section数写回去就行:)。用winhex内存编辑功能把400106-400107填回原来的值0900，再用prodump就成功啦。

    接着修复import table

天哪，这都是什么乱七八糟的呀。it完全被telock改的面目全非了，用ImportREC根本无法修复。没办法跟踪程序吧，从telock重建It部分开始吧，用加了superbpm和icedump的s-ice重新载入Flashfxp，下bpm 870000，f5。在这里停下：

0187:00576E02 FF0424            INC    DWord Ptr [ESP]
0187:00576E05 891F              MOV    [EDI],EBX
0187:00576E07 83C304            ADD    EBX,00000004
0187:00576E0A 83C704            ADD    EDI,00000004
0187:00576E0D 83242403          AND    DWord Ptr [ESP],00000003
0187:00576E11 833C2400          CMP    DWord Ptr [ESP],00000000
0187:00576E15 742E              JZ      00576E45
0187:00576E17 833C2401          CMP    DWord Ptr [ESP],00000001
0187:00576E1B 7430              JZ      00576E4D
0187:00576E1D 833C2402          CMP    DWord Ptr [ESP],00000002
0187:00576E21 7447              JZ      00576E6A
0187:00576E23 C144240C10        ROL    DWord Ptr [ESP+0C],10
0187:00576E28 668B44240C        MOV    AX,[ESP+0C]
0187:00576E2D 66AB              STOSW
0187:00576E2F 8BC3              MOV    EAX,EBX
0187:00576E31 C1E803            SHR    EAX,03
0187:00576E34 83E003            AND    EAX,00000003
0187:00576E37 8A440404          MOV    AL,[ESP+1*EAX+04]
0187:00576E3B AA                STOSB
0187:00576E3C B0C3              MOV    AL,C3
0187:00576E3E AA                STOSB
0187:00576E3F 66B8FF35          MOV    AX,35FF
0187:00576E43 EB2D              JMP    00576E72
0187:00576E45 8B442408          MOV    EAX,[ESP+08]
0187:00576E49 AB                STOSD
0187:00576E4A 4F                DEC    EDI
0187:00576E4B EBEF              JMP    00576E3C
0187:00576E4D 668B44240C        MOV    AX,[ESP+0C]
0187:00576E52 66AB              STOSW
0187:00576E54 B0C3              MOV    AL,C3
0187:00576E56 AA                STOSB
0187:00576E57 8BC3              MOV    EAX,EBX
0187:00576E59 C1E803            SHR    EAX,03
0187:00576E5C 83E003            AND    EAX,00000003
0187:00576E5F 8A440404          MOV    AL,[ESP+1*EAX+04]
0187:00576E63 AA                STOSB
0187:00576E64 66B8FF35          MOV    AX,35FF
0187:00576E68 EB08              JMP    00576E72
0187:00576E6A 8B442410          MOV    EAX,[ESP+10]
0187:00576E6E AB                STOSD
0187:00576E6F 4F                DEC    EDI
0187:00576E70 EBCA              JMP    00576E3C
0187:00576E72 E28C              LOOP    00576E00
0187:00576E74 66AB              STOSW
0187:00576E76 83C414            ADD    ESP,00000014
0187:00576E79 61                POPAD
0187:00576E7A 89BDAAB04000      MOV    [EBP+0040B0AA],EDI    //MOV [EBP+0040B0AA],EBX
              899DAAB04000
0187:00576E80 8BBDAAB04000      MOV    EDI,[EBP+0040B0AA]    //MOV EDI,[EBP+0040B0B2]
              8BBDB2B04000
0187:00576E86 8B85B2B04000      MOV    EAX,[EBP+0040B0B2]
0187:00576E8C 0385AAAF4000      ADD    EAX,[EBP+0040AFAA]
0187:00576E92 8B8DAEB04000      MOV    ECX,[EBP+0040B0AE]
0187:00576E98 8908              MOV    [EAX],ECX              //将函数名写到正确的位置
0187:00576E9A 8385AEB040000A    ADD    DWord Ptr [EBP+0040B0AE],0000000A
0187:00576EA1 EB08              JMP    00576EAB
0187:00576EA3 838DAAB04000FF    OR      DWord Ptr [EBP+0040B0AA],FFFFFFFF
0187:00576EAA 61                POPAD
0187:00576EAB 03BDAAAF4000      ADD    EDI,[EBP+0040AFAA]
0187:00576EB1 85DB              TEST    EBX,EBX
0187:00576EB3 0F84B4000000      JZ      00576F6D
0187:00576EB9 F7C300000080      TEST    EBX,80000000
0187:00576EBF 6A00              PUSH    00000000
0187:00576EC1 7506              JNZ    00576EC9
0187:00576EC3 8D5C1302          LEA    EBX,[EBX+1*EDX+02]
0187:00576EC7 EB3C              JMP    00576F05
0187:00576EC9 FF0424            INC    DWord Ptr [ESP]
0187:00576ECC 8B85A6AF4000      MOV    EAX,[EBP+0040AFA6]
0187:00576ED2 3B859AB04000      CMP    EAX,[EBP+0040B09A]
0187:00576ED8 752B              JNZ    00576F05
0187:00576EDA 81E3FFFFFF7F      AND    EBX,7FFFFFFF
0187:00576EE0 8BD3              MOV    EDX,EBX
0187:00576EE2 8D1495FCFFFFFF    LEA    EDX,[FFFFFFFC+4*EDX]
0187:00576EE9 8B9DA6AF4000      MOV    EBX,[EBP+0040AFA6]
0187:00576EEF 8B433C            MOV    EAX,[EBX+3C]
0187:00576EF2 8B441878          MOV    EAX,[EAX+1*EBX+78]
0187:00576EF6 035C181C          ADD    EBX,[EAX+1*EBX+1C]
0187:00576EFA 8B041A            MOV    EAX,[EDX+1*EBX]
0187:00576EFD 0385A6AF4000      ADD    EAX,[EBP+0040AFA6]
0187:00576F03 EB13              JMP    00576F18
0187:00576F05 81E3FFFFFF7F      AND    EBX,7FFFFFFF
0187:00576F0B 53                PUSH    EBX
0187:00576F0C FFB5A6AF4000      PUSH    DWord Ptr [EBP+0040AFA6]
0187:00576F12 FF9514AF4000      CALL    Near [`KERNEL32!GetProcAddress`]  //读取函数名
0187:00576F18 40                INC    EAX
0187:00576F19 48                DEC    EAX
0187:00576F1A 7532              JNZ    00576F4E
0187:00576F1C 58                POP    EAX
0187:00576F1D F9                STC   
0187:00576F1E 0F829BFDFFFF      JB      00576CBF
0187:00576F24 47                INC    EDI
0187:00576F25 44                INC    ESP
0187:00576F26 49                DEC    ECX
0187:00576F27 3332              XOR    ESI,[EDX]
0187:00576F29 2E44              INC    ESP
0187:00576F2B 4C                DEC    ESP
0187:00576F2C 4C                DEC    ESP
0187:00576F2D 55                PUSH    EBP
0187:00576F2E 53                PUSH    EBX
0187:00576F2F 45                INC    EBP
0187:00576F30 52                PUSH    EDX
0187:00576F31 3332              XOR    ESI,[EDX]
0187:00576F33 2E44              INC    ESP
0187:00576F35 4C                DEC    ESP
0187:00576F36 4C                DEC    ESP
0187:00576F37 53                PUSH    EBX
0187:00576F38 48                DEC    EAX
0187:00576F39 45                INC    EBP
0187:00576F3A 4C                DEC    ESP
0187:00576F3B 4C                DEC    ESP
0187:00576F3C 3332              XOR    ESI,[EDX]
0187:00576F3E 2E44              INC    ESP
0187:00576F40 4C                DEC    ESP
0187:00576F41 4C                DEC    ESP
0187:00576F42 4B                DEC    EBX
0187:00576F43 45                INC    EBP
0187:00576F44 52                PUSH    EDX
0187:00576F45 4E                DEC    ESI
0187:00576F46 45                INC    EBP
0187:00576F47 4C                DEC    ESP
0187:00576F48 3332              XOR    ESI,[EDX]
0187:00576F4A 2E44              INC    ESP
0187:00576F4C 4C                DEC    ESP
0187:00576F4D 4C                DEC    ESP
0187:00576F4E 8907              MOV    [EDI],EAX            //把函数名写回去
0187:00576F50 58                POP    EAX
0187:00576F51 48                DEC    EAX
0187:00576F52 740D              JZ      00576F61
0187:00576F54 40                INC    EAX
0187:00576F55 F8                CLC   
0187:00576F56 668943FE          MOV    [EBX-02],AX
0187:00576F5A 8803              MOV    [EBX],AL
0187:00576F5C 43                INC    EBX
0187:00576F5D 3803              CMP    [EBX],AL
0187:00576F5F 75F9              JNZ    00576F5A
0187:00576F61 8385AAAF400004    ADD    DWord Ptr [EBP+0040AFAA],00000004  //继续下一个
0187:00576F68 E9D4FDFFFF        JMP    00576D41
0187:00576F6D 83C614            ADD    ESI,00000014
0187:00576F70 8B95BEAF4000      MOV    EDX,[EBP+0040AFBE]
0187:00576F76 E9B1FCFFFF        JMP    00576C2C
0187:00576F7B 61                POPAD

sorry啊，我的表达能力太差了，我只能读懂那段的意思，实在是说不出来，语文没学好:(，按我改的做吧，就可以把正确的函数写到正确的位置去，具体有兴趣自己跟一下吧，看看就知道了。

这样做完所有的函数都可以认出，但还有一个问题，wokao这个同样也很难表达，就是该分段的地址还是被telock破坏掉了，就是原来是00000000的地方被telock写进了垃圾代码，ImportREC这时就抓瞎了，还认为这有东西呢，所以我们必须把它还原，在原来的地址写回00000000。如何找呢，这个我还没找到easy的方法，哪位大脱哥有好方法别保留呀，教教偶吧:)。我的方法：在程序破坏it之前把it的结构导出，记下分段地址，然后在程序的领空bpm 这个地址 w，在被telock破坏后，手工填回去。例如：load程序，下bpm 870000，下g，先把我前面说的要改的地方改了，然后下a eip,jmp eip，f5。接着用ImportREC提取未破坏的it结构，找到第一个分段处(我不知道这个改怎么叫)，是00533268，然后按ctrl+d返回程序，把刚才改的jmp eip还原回去，下，bpm 533268 w，g，被拦到，下dd 533268 把垃圾代码写回00000000，以此类推，还好只需要改22次，不累吧，比手工填函数可快多了呀。最后按f5退出，用ImportREC重建it成功，别忘了把dump_.exe的oep改成0012B8B0。

完活，哪位最后有其他好方法可用的话，千万记得告诉我呀，谢啦。
最后，论坛精华3中的脱壳文章不是太旧就是太少了，偶想把它充实些，不过力不从心，让我在短时期内搞这么多东西实在是太xxxx了。偶再过几天就要去学校报道了，这次要住校，tmd又要去浪费time了，我不可能把我的55gb的资料全带过去，所以，唉......在此之前我能赶多少算多少吧，自己研究真的好麻烦:(。这种教育制度纯属是浪费time，三个词送给它shit,fuck,ft。
sorry过于激动了，到此为止，写这些废话是因为刚收到的录取通知。


感谢你能够坚持下来hoho:)

下载：http://zombieys.cn.hongnet.com/FlashFXP14.rar


最后贴个key，51/唐朝/精品，都有提供，谢谢他们了:)
让我算这个key?下辈子吧，不过偶到是看到1.3的keygen了，mo god~~~~~~

-------- FlashFXP Registration Data START --------
Susan Kennedy
N/A
sulusux@subspacemail.com
00000001
09-22-2001
4vUA6=EdIUAN9R+htrOcAcwOLmRKBi55oEj7aZ2W2Ua
mTLay0Gy=4lVgvE8T6SLhzUuUOzYiyphrY1z4soKJT+
jxByazfcFCRXXM7gIPjRCL3tf8gw+oKAHwaEtP+6vq
-------- FlashFXP Registration Data END --------

　　　　
　　　　
　　　　　
　　　　
　　　　
　　　　　

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论

查看所有0条评论>>

发表评论

我来说两句...

提交评论