悬赏杀手—程序脱壳+干掉验证窗口

刚在悬赏区看到一个求助，原贴地址：https://www.52hb.com/thread-10528-1-1.html

打开软件，软件判断有没有登录YY，没有登录则弹出窗口，程序不能运行，点击确定程序退出。

PEID查壳

载入OD，出现压缩窗口，点否


F8单步，约三步，右侧寄存器窗口ESP变红（ES定律）

照顾新手，ESP演示一下，在命令栏里输入hr 0012ffa4后回车，F9或者点击运行


程序断断下

F8单步三次，来到程序OEP

打开LorD PE，找到程序右击，修正镜像大小


右击程序，完整转存

OD右键用OLLYDUMP脱壳调试进程

复制入口点OEP地址

打开Import REC,选择刚才调试的进程


修改OEP为刚才复制的OEP并点击自动查找IAT


点击获取输入表，查找无效函数，本程序没有

点击转储文件，选中刚才用Lord PE脱壳的文件，点确定

至此程序脱壳修复完毕，脱壳后的文件为dump_.exe

再次查壳

将脱壳后的程序载入OD

因为此前我们知道，程序运行完成后才出现窗口，所以我们直接API下断在弹出窗口

程序运行后断在这里，注意右下角

在CALL上右键，在反汇编窗口中跟随

程序来到这里，可以看出上面那个CALL就是弹出YY登录的窗口

如果直接把这里NOP掉，程序会弹出错误，然后程序自动退出

我们先单步走到这里发现程序退出


这里直接NOP掉

然后把上面0040E870的CALL改成jmp 00408FE0


保存修改后的文件




程序完美运行

牛逼！好详细！支持！

不错不错,

回复支持楼主，

自然卷。 发表于 2015-5-26 21:23
不错不错,

别忘了给评分哦，哈哈

这个过程真的很详细，感谢楼主！

66666截图累不 么么哒

教程很详细啊,值得鼓励

又学习了，感谢楼主分享

楼主真是用心了