• 标 题:这个软件真可恶!大家都来看看吧! (127字)
  • 作 者:十三少
  • 时 间:2000-6-10 22:36:45
  • 链 接:http://bbs.pediy.com

这是一个游戏程序,即防ICE又防TRW,而且还加了壳,我真是拿它没办法!
软件下载:http://go.163.com/~szycool/crackme/mmxbricksht.zip

  • 标 题:普通的Asprotect保护,你用TRW2000前先:faults off。Import表就在idata里:464000.你也可按我以前的方法定... (159字)
  • 作 者:看雪
  • 时 间:2000-6-10 23:29:11
    阅读次数:66

  • 链 接:http://bbs.pediy.com

普通的Asprotect保护,你用TRW2000前先:faults off。Import表就在idata里:464000.你也可按我以前的方法定位,得到结果一至。今天我要休息,到此为止。

  • 标 题:代码是动态变化的,每次都不一样。另外你自己还需要dump取正确的Import表替换旧的才行。 (2千字)
  • 作 者:看雪
  • 时 间:2000-6-11 10:55:35
  • 链 接:http://bbs.pediy.com

前面的代码每次不一样,你只能以机器码和后面的指令来参考。

:bpx loadlibrarya

0137:005693D8 EB13              JMP    005693ED
0137:005693DA E9A907FFFF        JMP    00559B88
0137:005693DF 66B80E00          MOV    AX,000E
0137:005693E3 E814F2FFFF        CALL    005685FC
0137:005693E8 E80709FFFF        CALL    00559CF4
0137:005693ED 8B4508            MOV    EAX,[EBP+08]
0137:005693F0 8D4818            LEA    ECX,[EAX+18]
0137:005693F3 8B4508            MOV    EAX,[EBP+08]
0137:005693F6 8B10              MOV    EDX,[EAX]
0137:005693F8 8B4508            MOV    EAX,[EBP+08]
0137:005693FB 8B401C            MOV    EAX,[EAX+1C]
0137:005693FE E881F7FFFF        CALL    00568B84—————进去
0137:00569403 5F                POP    EDI
0137:00569404 5E                POP    ESI
0137:00569405 5B                POP    EBX
0137:00569406 59                POP    ECX
0137:00569407 59                POP    ECX
0137:00569408 5D                POP    EBP

来到:
0137:005652CC 61                POPAD
0137:005652CD EB01              JMP    005652D0
0137:005652CF E850EB02E9        CALL    E9593E24
0137:005652D4 17                POP    SS
0137:005652D5 E802000000        CALL    005652DC———进去
0137:005652DA E91758C35B        JMP    5C19AAF6
0137:005652DF 59                POP    ECX
0137:005652E0 59                POP    ECX
0137:005652E1 5D                POP    EBP

来到:
0137:0045FA1C 55                PUSH    EBP—————入口点
0137:0045FA1D 8BEC              MOV    EBP,ESP
0137:0045FA1F 83C4F4            ADD    ESP,FFFFFFF4
0137:0045FA22 53                PUSH    EBX
0137:0045FA23 B87CF84500        MOV    EAX,0045F87C
0137:0045FA28 E83765FAFF        CALL    00405F64
0137:0045FA2D 8B1D7C0F4600      MOV    EBX,[00460F7C]
0137:0045FA33 8B03              MOV    EAX,[EBX]
0137:0045FA35 E8EA58FEFF        CALL    00445324
0137:0045FA3A 8B03              MOV    EAX,[EBX]
0137:0045FA3C BA00FB4500        MOV    EDX,0045FB00
0137:0045FA41 E80255FEFF        CALL    00444F48
0137:0045FA46 8B0DAC0E4600      MOV    ECX,[00460EAC]

  • 标 题:重建Import表的一些步骤提示: (413字)
  • 作 者:看雪
  • 时 间:2000-6-17 12:24:23
  • 链 接:http://bbs.pediy.com

程序入口地址:0045fa1c
需要重建import表 RAV:00064000 


先用bpx loadlibrarya do "dd*(esp+4)"
两三下后,数据区显示为KERNEL32.DLL
此时dump取Import表。
w 64000 l 3000

来到入口点0045fa1c dump取整个程序。
然后用 Procdump打开这个程序,看到idata的RAW office=60400 RAW size=221c
用Hex Workshop打开刚dump的Import表,选取大小221c.替换到主程序的60400处,大小221c,并修正Import表的值为64000
这样程序完全可运行。