2024年4月22日发(作者:)
按键小精灵生成文件的破解方法
首先,我们要把破解的文件
用peid查壳:PEBundle 2.0x - 2.4x-> Jeremy Collake [Overlay]
PEBundle是个捆绑壳,主要功能是把程序要用到的dll等文件绑到一个exe中。基本
上没有什么保护功能。
Overlay是说程序文件后面有附加数据。
用OllyICE打开,hr 12ffc0。下这个断是典型的用ESP定律脱壳。
不停地按F9运行,等到出现一个长时间的间隔,说明PEBundle解完了。此时来到:
00466468 68 70394600 push 00463970 //这里
0046646D C3 retn
0046646E C8 000000 e nter 0, 0
这个push+retn实质是一个jmp命令,f8两下到这里:
00463970 . 60 pushad
00463971 . BE 00C04300 mov esi, 0043C000
00463976 . 8DBE 0050FCFF lea edi, dword ptr [esi+FFFC5000]
0046397C . 57 push edi
0046397D . 83CD FF or ebp,FFFFFFFF
00463980 . EB 10 jmp short 00463992
00463982 90 nop
00463983 90 nop
其实这个地方用OllyICE的SFX跟踪真正入口也可以跟到。
这个入口是典型的UPX壳,没关系,一样用ESP定律搞定。按F9运行。
00463AD0 FF96 503E0600 call dword ptr [esi+63E50] //这个call
00463AD6 . 09C0 or eax, eax
00463AD8 . 74 07 je short 00463AE1
00463ADA . 8903 mov dword ptr [ebx], eax
00463ADC . 83C3 04 add ebx, 4
发布者:admin,转转请注明出处:http://www.yc00.com/web/1713752852a2311606.html
评论列表(0条)