下面整理一些東西讓你了解TRW2000如何脫殼,下面一程序是一壓縮后的軟件,脫這類殼,關鍵是找到入口點。具體例子如下:
運行TRW,選擇菜單中的TRNEWTCB命令,或用菜單的load,然后運行加脫的程序,程序馬上中斷于第一句了。
具體如下:
0137:0043D100 PUSHAD 程序會中斷于這里
0137:0043D101 MOV ESI,0042B0D9
0137:0043D106 LEA EDI,[ESI+FFFD5F27]
0137:0043D10C PUSH EDI
0137:0043D10D OR EBP,-01
0137:0043D110 JMP 0043D122 跳到解壓程序
0137:0043D112 NOP
0137:0043D113 NOP
解壓程序的入口:
0137:0043D122 8B1E MOV EBX,[ESI]
0137:0043D124 83EEFC SUB ESI,-04
0137:0043D127 11DB ADC EBX,EBX
0137:0043D129 72ED JB 0043D118
0137:0043D12B B801000000 MOV EAX,00000001
0137:0043D130 01DB ADD EBX,EBX
0137:0043D132 7507 JNZ 0043D13B
0137:0043D134 8B1E MOV EBX,[ESI]
好了在解壓程序里面,程序會做無數次的循環,我沒有必要了解它是如何進行加壓的,所以就把
光標一直向下走,一直走到這里:
0137:0043D250 EBD6 JMP 0043D228
0137:0043D252 61 POPAD
0137:0043D253 C3 RET
0137:0043D254 61 POPAD
0137:0043D255 E9D6A1FDFF JMP 00417430 這就是程序的真正入口了
0137:0043D25A 0000 ADD [EAX],AL
0137:0043D25C 0000 ADD [EAX],AL
0137:0043D25E 0000 ADD [EAX],AL
終于找到了入口地址,那麼現在就可以用TRW的pedump+文件名 命令直接脫殼了,然后回到windows下,到破解目錄找下你剛脫的文件。craker們你找一壓縮軟件如:ASPACK,UPX等,壓縮一軟件,然后用此方法脫殼一下。。。 |
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]
