• 标 题:脱PicturesToExe v3.60的壳 (1千字)
  • 作 者:zombieys
  • 时 间:2001-9-15 0:34:06
  • 链 接:http://bbs.pediy.com

脱PicturesToExe v3.60的壳

    有人问这个呀,这是最后一次复习了,简写一下。

unpack(2001.9.15)

    由于是delphi程序利用快速寻找aspr入口的方法:
执行apr.exe,用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe,选择搜索文本,填runtime,执行搜索,搜到后,向前找到离runtime最近的机器码为55 8B EC的地方就是程序的oep,而在apr里这个位置在offset:0011EC34处,用peditor的flc功能将它转换为virtual address就是0051EC34----oep。

    ok,下面要在入口处脱壳,打开SuperBPM,点erase,用trw载入apr.exe,下g 0051EC34,下suspend。用prodump选apr进程dump(full),再打ctrl+n,f5。

    接着用ImportREC1.2final修复import table

1    001241F8    KERNEL32.dll    0151    GetCommandLineA
1    001242EC    KERNEL32.dll    033C    WinExec
1    00124338    KERNEL32.dll    024C    LockResource
1    0012437C    KERNEL32.dll    01E9    GetVersion
1    001243D4    KERNEL32.dll    0163    GetCurrentProcessId
1    001243DC    KERNEL32.dll    013D    FreeResource
1    0012441C    KERNEL32.dll    00C7    CreateProcessA

选add new section,然后点fix dump。

    最后把dump_.exe的ep改成0011EC34。这个我以前疏忽了,ImportREC修完程序后会在后面加_,所以以前的都是改dump_.exe。

    这是我唯一见过的一个脱壳后能正常运行的软件了。

    我写的够多啦,不是特别难,。

    crack我可不管了,谁有时间就来试试吧。

2001.9.15
zombieys[CCG]

———————————————————————————————>
                .-"      "-.      unpacked by zombieys[CCG] >
                /         \      qq:1789655                >
              |      ★    |    http://zombieys.yeah.net  >
              |,  .-.  .-.  ,|    http://zombieys.126.com  >
                |)(__/  \__)(|      zombieys.cn.hongnet.com  >
                |/    /\    \|                                >
      (@_@)    (_    ^^    _)      Thanks for your supports  >
    _  )\_______\__|IIIIII|__/_____                          >
_)@8@8{}<________|-\IIIIII/-|____China Crack Group_zombieys___>