悬赏杀手—程序脱壳+干掉验证窗口
刚在悬赏区看到一个求助,原贴地址:https://www.52hb.com/thread-10528-1-1.html打开软件,软件判断有没有登录YY,没有登录则弹出窗口,程序不能运行,点击确定程序退出。
PEID查壳
载入OD,出现压缩窗口,点否
F8单步,约三步,右侧寄存器窗口ESP变红(ES定律)
照顾新手,ESP演示一下,在命令栏里输入hr 0012ffa4后回车,F9或者点击运行
程序断断下
F8单步三次,来到程序OEP
打开LorD PE,找到程序右击,修正镜像大小
右击程序,完整转存
OD右键用OLLYDUMP脱壳调试进程
复制入口点OEP地址
打开Import REC,选择刚才调试的进程
修改OEP为刚才复制的OEP并点击自动查找IAT
点击获取输入表,查找无效函数,本程序没有
点击转储文件,选中刚才用Lord PE脱壳的文件,点确定
至此程序脱壳修复完毕,脱壳后的文件为dump_.exe
再次查壳
将脱壳后的程序载入OD
因为此前我们知道,程序运行完成后才出现窗口,所以我们直接API下断在弹出窗口
程序运行后断在这里,注意右下角
在CALL上右键,在反汇编窗口中跟随
程序来到这里,可以看出上面那个CALL就是弹出YY登录的窗口
如果直接把这里NOP掉,程序会弹出错误,然后程序自动退出
我们先单步走到这里发现程序退出
这里直接NOP掉
然后把上面0040E870的CALL改成jmp 00408FE0
保存修改后的文件
程序完美运行
牛逼!好详细!支持! {:5_117:}不错不错, 回复支持楼主, 自然卷。 发表于 2015-5-26 21:23
不错不错,
别忘了给评分哦,哈哈 这个过程真的很详细,感谢楼主! 66666截图累不 么么哒 教程很详细啊,值得鼓励 又学习了,感谢楼主分享 楼主真是用心了