Jdpack的脱壳及破解

这是一个加壳软件,软件加壳后可以检测trw及sice,它的1.00版检测到trw或sice时只是提示,到了1.01版,检测到就会出现非法操作. 　　未注册版好像没有时间限制,但是给软件加壳后每次运行就会提示"unregistered jdpack.this file packed by unregistered jdpack1.0* from http://www.tlzj18.com" 　　使用工具:trw kwdsm 　　下载地址(1.00 and 1.01): http://person.longcity.net/home0/flyfancy/jd.rar 　　脱壳: 　　我最初追踪的是1.00版,当时软件还只是提示,我就很轻易的找到了关键 　　bpx getversionexa 　　g 　　断下后 　　先bc(因为以后有几个getversionexa的调用,但是与脱壳无关) 　　下面会有2个jz,但是不能让它跳,否则就提示检测到调试器(因为我用的是trw) 　　输入 r fl z 　　之后就是一个jmp 　　f8继续,后面就很简单了,我只记得快到的时候会有 　　popa 　　jmp eax 　　然后makepe即可 　　1.01的脱壳方法也是 　　bpx getversionexa 　　g 　　就到了这里 　　0187:0040e250 call near [ebp 004031b1] //停在这里,先bc 　　0187:0040e256 lea ebx,[ebp 00403449] 　　0187:0040e25c cmp dword [ebx 10],byte 01 　　0187:0040e260 jz 0040e276 (jump)//下 r fl z,跳的话就完了. 　　0187:0040e262 cmp dword [ebx 10],byte 02 　　0187:0040e266 jz 0040e26a 　　0187:0040e268 jmp short 0040e284 //f8进去 　　0187:0040e284 mov edx,[ebp 00403441] //到了这里 　　0187:0040e28a mov esi,[ebp 004031d9] 　　0187:0040e290 add esi,edx 　　0187:0040e292 mov eax,[esi 0c] 　　0187:0040e295 or eax,eax 　　0187:0040e297 jz near 0040e3ea (no jump) //看到这里吗,就g 40e3ea吧 　　0187:0040e29d add eax,edx 　　0187:0040e29f mov [ebp 004031a5],eax 　　0187:0040e2a5 mov ebx,eax 　　0187:0040e3ea mov edx,[ebp 00403441] 　　0187:0040e3f0 mov eax,[ebp 004031d5] 　　0187:0040e3f6 add eax,edx 　　0187:0040e3f8 mov [esp 1c],eax 　　0187:0040e3fc popa 　　0187:0040e3fd push eax 　　0187:0040e3fe ret // 到了这里,按f8就返回程序的oep处了,直接makepe即可