庞大资源库的计算机教程网站!
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]
首页 操作系统 程序设计 图形图像 媒体动画 机械电子 WEB开发 数 据 库 办公系列 路由技术 网络原理 网络应用
认证考试 安全技术
首页>安全技术>软件破解>脱壳技术>正文
资料搜索
Google搜索
Google
返回上级列表

推荐文章

快速保存网页中所有图片的方法
Windows中让光驱巧妙“隐身”技
防范非法用户入侵Win 2000/XP系
两款比较典型的ASP木马防范方法
有关表格边框的css语法整理
Windows XP中可以被禁用的服务
SQL Server导出导入数据方法
Javascript所有对象的属性的获
网页(HTML)中的特殊字符
与篮球共舞,尽显模式本色
QQ病毒的手工清除方法
Photoshop为极品美女打造性感睫
天衣无缝:IIS与PHP水火也相容
SQL Server存储过程编写和优化

天意+Procdump脱PE Compact 1.4 beta6

 作者:本站收集   日期:2005-5-28
字号选择〖 〗/ 双击滚屏 单击停止   
用天意+Procdump脱PE Compact 1.4 beta6

本人对PE的文件结构也不是很了解!
1、如果你和我一样使用s3的早期显卡,那么你需要安装sdd v6.53或者
sdd v7.0 alpha3

2、运行天意的test程序,如果你的显卡支持的话,会生成一个Trackit.dat的
文件!

3、我们这次脱PE Compact 1.4 beta6的壳,用天意脱这个软件的壳,
用天意似乎比trw2000更快来到关键处!

4、此篇文章由于我的水平有限无法涉及让他脱壳后跨平台运行的问题!
不过在本机应该可以使用!主要是介绍天意为cracker们特设的suspend命令!

好开始,首先用load载入pecompact.exe文件!
来到如下程序段:
015F:00419800 JMP SHORT 00419808 -->中断与此,按f10继续
015F:00419802 PUSH DWORD 00019000
015F:00419807 RET
015F:00419808 PUSHF -->按一下f10来到了这里,继续用f10单步执行!
015F:00419809 PUSHA
015F:0041980A CALL 00419811 -->来到这里,不要用f10,改用f8,f10继续!
015F:0041980F XOR EAX,EAX
015F:00419811 MOV EAX,ESP
015F:00419813 ADD EAX,BYTE +04
015F:00419816 XCHG EAX,EBX
015F:00419817 MOV ESP,EBX
015F:00419819 MOV EBX,[EBX-04]
015F:0041981C SUB EBX,0040A00F
015F:00419822 XCHG EBX,EBP
.
.
.
.
.
.
..过不了多久就来到这里!
015F:00419850 PUSH EBX
015F:00419851 PUSH EBX
015F:00419852 PUSH EBX
015F:00419853 PUSH EBX
015F:00419854 POP EAX
015F:00419855 SUB EAX,0040A070
015F:0041985A MOV [EBP+0040A071],EAX
015F:00419860 POP EDI
015F:00419861 LEA ESI,[EBP+0040A070]
015F:00419867 MOV ECX,0447
015F:0041986C REP MOVSD -->看见这条指令了吧!在天意里不管用f10或f8都是
要运行很长时间的(在trw2000里可以用f10带过)
其实,在这里,我们可以用天意的g命令跳过!
马上会来到这里...
.
.
015F:0041B40B NOP
015F:0041B40C MOV ESI,[EBP+0040A5DC]
015F:0041B412 MOV EDI,[EBP+0040A5E0]
015F:0041B418 CALL 0041C0A4
015F:0041B41D POPA
015F:0041B41E POPF
015F:0041B41F PUSH EAX
015F:0041B420 PUSH DWORD 00419000 -->在41986c处,使用g命令后来到了这里
在按f10
015F:0041B425 RET 04 -->来到这里用f10带过,就来到程序脱壳的
关键处!
..关键处代码:
015F:00419000 PUSHF -->来到这里,用f10跑到419002处
015F:00419001 PUSHA
015F:00419002 CALL 00419009 -->来到这里就可以脱壳了,这里我们用
suspend命令回到windows环境,启动
procdump,然后在就可以脱壳了!
在procdump里可以选种我们刚才准备脱壳文件的那个进程!点鼠标右键,选择
dump(full)

注:本人昨天和人打架,眼睛伤了,这篇文章只是简单介绍一下它是如何脱壳的!希望大家能看明白,天意的功能十分强大,我无法说的清楚!希望大家关注这款国产的调试器!

wind[CCG]
上一篇:破解API Spy for Windows 95/98/NT/2000    下一篇:对PECompact.exe v1.34的手动脱壳(2)  
[发送给好友]  [关闭窗口]  [返回顶部]   转载请注明来源:www.it00.com   
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
责任编辑: 原点 投稿作者: 本站收集
信息来源: 网络 录入时间: 2005-5-28
关于我们 - 广告服务 - 版权申明 - 网站地图 - 联系方式 - 总编信箱 - 会员投稿
Copyright ©2005 - 2008 IT00.COM,All Rights Reserved