脱Alchemy Gif Animator 2.3的壳
本来说是不再写aspr脱壳的东西了,不过fpc老兄推荐的这个东西比较典型,所以有必要说明一下。作为报酬破解就交给fpc大哥了,破不出来的话,饶不了他;-)
unpack(2001.9.16)
由于是delphi程序(我看如果是用delphi写的程序,还是放弃aspr保护吧,跟没加一样),所以利用快速寻找aspr入口的方法:
执行AGif.exe,用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe,选择搜索文本,填runtime,执行搜索,搜到后,向前找到离runtime最近的机器码为55
8B EC的地方就是程序的oep,而在AGif里这个位置在offset:000D4C14处,用peditor的flc功能将它转换为virtual address就是004D5614----oep。
ok,下面要在入口处脱壳,打开SuperBPM,点erase,用trw载入AGif.exe,下g 004D5614,下suspend。用prodump选AGif.exe进程dump(full),再打ctrl+n,f5。
接着修复import table,ImportREC1.2final无法提取完整的it,要手动修复太多函数了,累死~~~,所以用ImportREC1.2beta2重建吧,hoho,good
luck:)
以下操作必须在tag&rename的地盘里探测
(1) 000DB1D4
KERNEL32.dll 0151 GetCommandLineA
(2) 000DB2EC KERNEL32.dll
024c LockResource
(3) 000DB328
KERNEL32.dll 01E9 GetVersion
(4) 000DB374 KERNEL32.dll 0163
GetCurrentProcessId
(5) 000DB37C
KERNEL32.dll 024c LockResource
选add new section,然后点fix dump。最后把dump_.exe的ep改成000D5614。
ImportREC就这么有限几个函数认不出来,背都能背下来了~~~~`
举这个例子就是要讲如何让脱壳的程序正常运行,这个比较有意思啦。
这样修复后程序能够正常执行,不过主窗口被锁死,不能动,与原版比较跟踪也没有发现任何不一样的地方。百思不得其解的时候,发现运行dump_.exe的时候,同时会生成一个dump_.ini,再拿它同原来的AGif.ini比较,小了好多,所以将AGif.ini做成dump_.ini,再运行,正常,我晕倒~~~~~~~~~。
关于破解:各位的crack功力都比我强,这个用不着我动手,偶就等结果吧:)
完活,希望我写的东西能够对大家有所帮助:)
此注册码对2.3版无效
51soft放出的
Advanced Gif Animator 2.2 中文注册版
Serial: 0qT+7ks91OS6TwwuLvuwXOgnH9C1VS Eo9HIWngLCMBIuHEWyJzuGuNjjAVvs QIf8lo8MhU4c6QZfVgfvrKE7u6ZOsd
sLI8UGMKEK3nDr1cRHcvufQ9LTGS3B z16BSbF7c7cd7gkAFbooFcHO/P8lPf FRTTAg+2Mnrz28OeYhZSIk=
2001.9.16
zombieys[CCG]
———————————————————————————————>
.-"
"-. Cracked by zombieys[CCG] >
/ \ qq:1789655
>
| |
http://zombieys.yeah.net >
|, .-. .-. ,| http://zombieys.126.com
>
|)(__/ \__)(|
zombieys.cn.hongnet.com >
|/ /\ \|
>
(@_@) (_ ^^
_) Thanks for your supports >
_ )\_______\__|IIIIII|__/_____
>
_)@8@8{}<________|-\IIIIII/-|____China
Crack Group_zombieys___>
- 标 题:脱Alchemy Gif Animator 2.3的壳,fpc老兄~~~~` (2千字)
- 作 者:zombieys
- 时 间:2001-9-16 11:40:15
- 链 接:http://bbs.pediy.com