脱PicturesToExe v3.60的壳
有人问这个呀,这是最后一次复习了,简写一下。
unpack(2001.9.15)
由于是delphi程序利用快速寻找aspr入口的方法:
执行apr.exe,用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe,选择搜索文本,填runtime,执行搜索,搜到后,向前找到离runtime最近的机器码为55
8B EC的地方就是程序的oep,而在apr里这个位置在offset:0011EC34处,用peditor的flc功能将它转换为virtual address就是0051EC34----oep。
ok,下面要在入口处脱壳,打开SuperBPM,点erase,用trw载入apr.exe,下g 0051EC34,下suspend。用prodump选apr进程dump(full),再打ctrl+n,f5。
接着用ImportREC1.2final修复import table
1 001241F8
KERNEL32.dll 0151 GetCommandLineA
1 001242EC KERNEL32.dll 033C
WinExec
1 00124338 KERNEL32.dll
024C LockResource
1 0012437C
KERNEL32.dll 01E9 GetVersion
1 001243D4 KERNEL32.dll 0163
GetCurrentProcessId
1 001243DC KERNEL32.dll
013D FreeResource
1 0012441C
KERNEL32.dll 00C7 CreateProcessA
选add new section,然后点fix dump。
最后把dump_.exe的ep改成0011EC34。这个我以前疏忽了,ImportREC修完程序后会在后面加_,所以以前的都是改dump_.exe。
这是我唯一见过的一个脱壳后能正常运行的软件了。
我写的够多啦,不是特别难,。
crack我可不管了,谁有时间就来试试吧。
2001.9.15
zombieys[CCG]
———————————————————————————————>
.-" "-. unpacked
by zombieys[CCG] >
/ \ qq:1789655
>
| ★ | http://zombieys.yeah.net
>
|, .-. .-.
,| http://zombieys.126.com >
|)(__/ \__)(| zombieys.cn.hongnet.com
>
|/
/\ \|
>
(@_@)
(_ ^^ _) Thanks for your
supports >
_ )\_______\__|IIIIII|__/_____
>
_)@8@8{}<________|-\IIIIII/-|____China Crack Group_zombieys___>
- 标 题:脱PicturesToExe v3.60的壳 (1千字)
- 作 者:zombieys
- 时 间:2001-9-15 0:34:06
- 链 接:http://bbs.pediy.com