欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

Jdpack的脱壳及破解

程序员文章站 2022-06-28 08:29:31
这是一个加壳软件,软件加壳后可以检测trw及sice,它的1.00版检测到trw或sice时只是提示,到了1.01版,检测到就会出现非法操作.   未注册版好像没有时间限制,但是给软件加壳后每次运... 08-10-08...
这是一个加壳软件,软件加壳后可以检测trw及sice,它的1.00版检测到trw或sice时只是提示,到了1.01版,检测到就会出现非法操作.   未注册版好像没有时间限制,但是给软件加壳后每次运行就会提示"unregistered jdpack.this file packed by unregistered jdpack1.0* from http://www.tlzj18.com"   使用工具:trw kwdsm   下载地址(1.00 and 1.01): http://person.longcity.net/home0/flyfancy/jd.rar   脱壳:   我最初追踪的是1.00版,当时软件还只是提示,我就很轻易的找到了关键   bpx getversionexa   g   断下后   先bc(因为以后有几个getversionexa的调用,但是与脱壳无关)   下面会有2个jz,但是不能让它跳,否则就提示检测到调试器(因为我用的是trw)   输入 r fl z   之后就是一个jmp   f8继续,后面就很简单了,我只记得快到的时候会有   popa   jmp eax   然后makepe即可   1.01的脱壳方法也是   bpx getversionexa   g   就到了这里   0187:0040e250 call near [ebp 004031b1] //停在这里,先bc   0187:0040e256 lea ebx,[ebp 00403449]   0187:0040e25c cmp dword [ebx 10],byte 01   0187:0040e260 jz 0040e276 (jump)//下 r fl z,跳的话就完了.   0187:0040e262 cmp dword [ebx 10],byte 02   0187:0040e266 jz 0040e26a   0187:0040e268 jmp short 0040e284 //f8进去   0187:0040e284 mov edx,[ebp 00403441] //到了这里   0187:0040e28a mov esi,[ebp 004031d9]   0187:0040e290 add esi,edx   0187:0040e292 mov eax,[esi 0c]   0187:0040e295 or eax,eax   0187:0040e297 jz near 0040e3ea (no jump) //看到这里吗,就g 40e3ea吧   0187:0040e29d add eax,edx   0187:0040e29f mov [ebp 004031a5],eax   0187:0040e2a5 mov ebx,eax   0187:0040e3ea mov edx,[ebp 00403441]   0187:0040e3f0 mov eax,[ebp 004031d5]   0187:0040e3f6 add eax,edx   0187:0040e3f8 mov [esp 1c],eax   0187:0040e3fc popa   0187:0040e3fd push eax   0187:0040e3fe ret // 到了这里,按f8就返回程序的oep处了,直接makepe即可