【S02E05】Shark恒 零基础破解教程之图文!【崛北再见】
在深入注册码的前面,先加一课脱壳。因为在“无期徒刑”这一课有很多人脱不掉壳。那我们就拿出一课讲一讲这个壳吧!因为我们之前学过了ESP定律,所以这一课就用ESP定律脱掉吧!这样大家会更容易理解。
PEID查壳发现这个壳的名字叫“KByS Packer v0.28”请看下图
这个壳的名字叫“崛北”,是个压缩壳。
好吧,开始脱壳吧。
OD载入后我们F8单步,可以发下寄存器窗口的ESP寄存器符合我们的一个定律要求。
大家应该联想到了ESP定律。看下图
既然联想到了ESP定律,那就试试吧,如果失败也没什么大不了的!
下图位置,在寄存器窗口ESP处右键,“数据窗口中跟随”。
然后该怎么做? 我这里略过了,因为我在第一季第七集已经教过大家ESP定律了,不懂的回去学。
我就来到了F9以后的位置。请看下图
现在先别着急往下走,我们先删掉硬件断点。硬件断点位置请看下图。
删除掉硬件断点以后,我们仍然F8单步往下走。
经过几次F8,来到下图位置,我们看到有个PUSHAD,并且右侧寄存器窗口又符合ESP定律了!
行,既然他符合,咱们就继续ESP定律试试。
然后ESP定律该怎么做?在寄存器窗口ESP处右键,“数据窗口中跟随”。然后还是参考ESP定律一课。
下图我又来到了ESP定律最后一步F9,到达的那一行代码。发现变化并不大,仔细看一下,不是变化不大,是根本没变!
只是又回到了第一次ESP定律的位置。嗯,没错,请看下图。
现在单步F8,经过4次F8后,我们来到了OEP,请看下图。
如果你到达OEP后不是这样,是 55 8B EC 6A FF 这类的话,那就右键,选择“分析”
OEP到了,大家就自己脱壳吧。
崛北这个壳大家应该会脱才对,而且已经有部分人脱掉了。
其实方法已经学了,只是有些不灵活运用,还希望以后大家要灵活一些!学会举一反三!
感谢恒大的教程,受益良多!
{:6_223:}学习,我是一步一步F8一直下去,ESP定律方便多了,要多练习了。{:5_118:}
注册机写法:
0040163D DD45 F4 fld qword ptr ss:
00401640 DC0D 691E4700 fmul qword ptr ds:
00401646 DD5D EC fstp qword ptr ss:
00401649 DD45 EC fld qword ptr ss:
0040164C DC05 711E4700 fadd qword ptr ds:
00401652 DD5D E4 fstp qword ptr ss:
00401655 68 01060080 push 0x80000601
0040165A FF75 E8 push dword ptr ss:
0040165D FF75 E4 push dword ptr ss:
.版本 2
.局部变量 a, 双精度小数型
a = 到小数 (编辑框1.内容)
a = a × 666666
a = a + 121110
编辑框2.内容 = “zhucema-” + 到文本 (a)
啊 原来可以二次esp啊,我一次esp走了n次f8{:5_117:}
原来接下来这课就讲了脱壳,害的我头疼了半天....
【S02E05】Shark恒 零基础逆向教程之图文!【崛北再见】 [修
原来是这样啊。。下次遇到再试试。。。。。
不知道可以进行多次ESP,这个壳,我这边走了3次ESP,然后就终止了,不知道是啥原因。
哦原来如此感觉豁然来浪了