• 标 题:国庆节大家好!送个小甜饼给大家 ----- 有关Crunch v1.1加壳程序的ProcDump脱壳Script (1千字)
  • 作 者:ljttt
  • 时 间:2000-10-2 19:03:26
  • 链 接:http://bbs.pediy.com

国庆节大家好!送个小甜饼给大家 ----- 有关Crunch v1.1加壳程序的ProcDump脱壳Script

【声明】
我写文章以交流为主,希望大家在转载时能保持文章的完整性。

【前言】
由于我现在还没有破解版的Crunch v1.1,所以就拿未注册版的Crunch来测试。好象未注册版的Crunch加壳的程序的名字有限制,其他的我就不清楚了。由于我DOWN的这个文件是根据看雪论坛的一个贴子提供的地址下载的。连帮助文件也没有。:-( 


目标:        脱壳
作者:        ljttt
写作日期:    2000-10-02

以下是我写的ProcDump用的Script,把其加入ProcDump的Script.ini文件就可以了。我测试的结果可以对一些Crunch加壳的程序自动脱壳,在使用时最好选中Option/Rebuild new import table。不过我用C++Builder3编写的程序用此自动脱壳测试时有问题。:-(

另外,在使用时最好不要在启动时加载SoftICE等调试器。本来我想在Script中跳过这些反跟踪的代码的,但是不知道有Script中有哪个指令可以直接设置ESI等寄存器的值,如ESI=10。哪位大虾知道,还请麻烦你告诉我一声。我先多谢了。

如果哪位大虾已经把Crunch.EXE脱壳了,能否通知我一声,或者简单说说脱壳的方法。毕竟我自己从头摸索又要花费大把大把的时间。小弟先作揖了。

[INDEX]
P24=My Crunch 1.1

[My Crunch 1.1]
L1=OBJR
L2=LOOK F3,A4
L3=ADD 2
L4=BP
L5=WALK
L6=OBJR
L7=LOOK FF,D2,CC,CC
L8=BP
L9=MOVE 9
LA=WALK
LB=WALK
LC=LOOK 83,FB,00,7F,F0
LD=ADD 3
LE=BP
LF=WALK
L10=WALK
L11=LOOK 03,C5,FF,E0,FF,A5
L12=ADD 4
L13=BP
L14=WALK
L15=OBJR
L16=LOOK 8B,85,??,??,??,??,01,85,??,??,??,??,FF,A5
L17=ADD C
L18=BP
L19=WALK
L1A=OBJR
L1B=LOOK 61,5D,8B,85,??,??,??,??,5D,FF,E0
L1C=ADD 9
L1D=BP
L1E=STEP
OPTL1=00000000
OPTL2=01010001
OPTL3=01010001
OPTL4=00030000
OPTL5=00000000

【后记】
如果大家在使用时有什么问题或者有什么建议,可以给跟帖子说说。