非本人破解 只是感觉还好 就发了
第一步,查壳可以看出是nSPack 2.1 - 2.5 nsp也是一个压缩壳》看到这里01E893A8 >9C pushfd然后直接F8单步走下来 注意看右边的寄存器
》我们鼠标选中ESP右键数据窗口中跟随 然后在左下的HEX数据的第一排下硬件断点 看我图中选中的地方
》下好断点后 直接F9运行程序 这是会来到01E8962D- E9 934D5EFE jmp 夜华.0046E3C5这个地方 我们继续F8单步就可以来到程序入口了 记得取消硬件断点
看到图中的代码看不到对不对?我们咋办啊? 右键分析-分析代码就可以了 看到真的易语言入库了吧 我们把入口基址记录一下0046E3C5
什么?你问我为什么知道?我也不知道我为什么知道undefined
》好的到了这里壳已经脱了 但是还要修复 不然打开会报错的 这里我们用到两款软件 LordPE还有ImpREC(百度就有哦)
我们先打开LordPE选择进程 但是记住不是OD进程 是你放FZ的进程比如我放在桌面c:xxx/xxx/夜华(记得是解压到桌面的)
鼠标选中右键修正镜像大小 然后再次右键完整转存 得到dumped.exe这个文件 点击保存即可
》这次我们打开ImpREC 还是一样的附加刚刚的FZ进程c:xxx/xxx/夜华 看到右边的OEP没有 那里就是我们要修改的地方
还记得刚刚我们记录的入口基址吧0046E3C5用这个减去00400000(镜像基址)0046E3C5-00400000=OEP
什么?不会算?读书干嘛去了?减法都不会!打开百度 搜索科学计算器计算一下吧 记得选择高级---十六进制
得到6E3C5 补位就是0006E3C5这个就是真的OEP了
》把0006E3C5换掉刚刚上面的01A893A8然后点击右边的自动搜索-确定-获取输入表-然后点击右下角的修复转存文件
转存文件就是刚刚保存的dumped.exe(别说不记得在那了。和FZ在一起的)然后选中它打开就好了(注意软件版本1.7的)
》至此脱壳修复成功(修复成功的是名字后带“—”的)我们查壳.看到是没有壳的 我们直接载入到OD看看
》载入OD直接就来到了刚刚的程序入口点0006E3C5我们直接Ctrl+G输入401000来到00401000 33C0 xor eax,eax
然后F9运行程序,右键 中文查找-智能搜索
》到这里我就不多截图了 看文字 到中文查找处Ctrl+F(也可以右键查找)输入eno如果第一次不对就CTRL+b查找下一个(也可以右键下一个)
找到eno后直接双击进去 往上找一个大跳能跳过eno的然后鼠标双击它把jnz 00401B01改成jmp 00401B01点击汇编,至此功能PJ完成
》功能PJ了 但是黄金会员没有逆向我们点击上方的窗口-中文查找回到刚刚找eno的地方 找到普通用户登录成功 双击进去
看到普通会员上面的两个CALL,我们可以假设第一个是扣点关键CALL ,我们选中然后回车进CALL 看到v_points,这个 那么上面的段首就是了
重点来了,00403C67 55 push ebp
它的段首应该是VM(加密)了 但是会延时你只要进来的时候直接空格 push ebp改成ret汇编就好了 改不到的 按ESC回到普通会员处再次进来就好
》好了黄金会员也成功了,我们右键复制到可执行文件-所有修改 然后在弹出来的窗口继续右键-保存文件 把名字改成吾爱破解 保存即可
保存好了 哦我们打开登录看看
》提示黄金会员登录成功,至此已经讲完了本课的所有内容了哦,有什么不懂的大家可以回复哦
@ Shark恒 那么大大的水印都能审核通过,可我上次的自己写的一个图文却被判定为盗取,我知道已经有大神发过考无忧的教程,可我发的内容和那一个是不样的 人家都说是非他逆向... 再说了这个对新人是很好的 教程 认真看了一遍,确实帮助蛮大的 太有难度了 {:5_127:} 呃,对我来说太复杂了{:5_127:} 说实话这些水印很好处理,都在一些无关紧要的地方,用美图秀秀处理一下就好了 在来一句,如果你回来,可以拿他的课件,自己调试一遍,然后记录下你的过程,这也不错啊 额..略复杂留名备用!~~ 感谢楼主分享!