您的位置:首页精文荟萃破解文章 → Advanced PDF Password Recovery Pro 1.70脱壳

Advanced PDF Password Recovery Pro 1.70脱壳

时间:2004/10/15 0:58:00来源:本站整理作者:蓝点我要评论(0)

 


破解工具:loader,trw2000, superbpm,Import REConstructor v1.4.2+ winhex  

首先要谢谢电神大哥的指点(电神真是大好人,呵呵),没有他的指点,我现在还在拿着这个软件晕 :)  

这个软件比较怪,用loader找到的入口是 jmp xxxxxxxx,开始我还以为找错了,后来脱出后用peid看是Watcom C/C++编写的软件,可能与vc++不一样吧.  

一.找入口点  
  感谢fs0给我们带来loader这么个一个超cool的工具,用loader载入apdfprp.exe轻易找到入口  
41a964.  

二.用trw2000初步脱壳  

  下面要在入口处脱壳,打开SuperBPM,点erase,用trw载入apdfprp.exe,下g 41a964. 接着下pedump脱出程序.  

三.修复import table  
  我脱这个程序的难点就在这里,因为用Import REConstructor v1.4.2+,在oep那里填0001a964,点IAI AutoSearch,结果说无效 :(  后来问电神大哥说oep那里要填00001000(至于为什么我就不清楚了,那位知  
道的能不能告诉我一下,是不是Watcom C/C++的原因??)  

  打开原加壳程序,在Import REConstructor v1.4.2+ 的 Attach to an Active Process 窗口中选取apdfprp.exe的进程,然后在下方的oep处填入00001000,点IAI AutoSearch,再点Get Imports 然后点Show Invalid,在Imported Functions Found窗口里的无效地址上点鼠标右键,选Trace Leve11(disasm),再点show invaids,发现还有几个没有修复,再次在那几个没有修复的地址上点鼠标右键.  
  选中Plugin Tracer(Asprotect 1.2X Emul),再点show invaids应发现所有的dll显示 valid:Yes了。  
因为真正的入口是41a964,所以这时在oep那里填入0001a964,再点Fix Dump,选中你用trw2000 pedump出的文件修复.  

四.程序除错  
运行脱后的程序报 API not found, please contect technical support  
用trw2000载入下断点 bpx messageboxexa ,F5返回,程序被中断,按F10可看出 出错对话框地址是  
00409518  

0167:004094FB A3F0084500      MOV      [004508F0],EAX  
0167:00409500 85C0            TEST    EAX,EAX  
0167:00409502 7526            JNZ      0040952A    //只要这里改成jmp 409552(7526改EB4E)就可以了  
0167:00409504 6A10            PUSH    BYTE +10  
0167:00409506 68F9424400      PUSH    DWORD 004442F9  
0167:0040950B 6804434400      PUSH    DWORD 00444304  
0167:00409510 2EFF15FC254400  CALL    NEAR [CS:004425FC]  
0167:00409517 50              PUSH    EAX  
0167:00409518 2EFF1554264400  CALL    NEAR [CS:00442654] //这里报API not found, please contect technical support  

0167:0040951F 6A00            PUSH    BYTE +00  
0167:00409521 2EFF15F8264400  CALL    NEAR [CS:004426F8]  
0167:00409528 EB28            JMP      SHORT 00409552  
0167:0040952A 6A10            PUSH    BYTE +10  
0167:0040952C 57              PUSH    EDI  
0167:0040952D FF15F0084500    CALL    NEAR [004508F0]  //这里弹出警告  
0167:00409533 85C0            TEST    EAX,EAX  
0167:00409535 751B            JNZ      00409552        //关键  
0167:00409537 6A10            PUSH    BYTE +10  
0167:00409539 6835434400      PUSH    DWORD 00444335  
0167:0040953E 683A434400      PUSH    DWORD 0044433A  
0167:00409543 2EFF15FC254400  CALL    NEAR [CS:004425FC]  
0167:0040954A 50              PUSH    EAX  
0167:0040954B 2EFF1554264400  CALL    NEAR [CS:00442654]  

最好还是要谢谢电神大哥,没有他的指点,我是怎么也脱不了这个壳的, :) 

    
    
     
    
    
     

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 去除winrar注册框方法

最新文章 比特币病毒怎么破解 比去除winrar注册框方法 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据

人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程