菜鸟之YT88带原狗简单脱壳及自校验修复
业余学很久了,一直没有发过什么有技术含量的文章,以前看了一位大侠的域天狗脱壳文章,也带狗脱了一个简单的域天的壳, 在破之前本以为很简单的事,谁知花了我几天都搞不下。在迷茫之中。得到大神”清晨吃馒头“ 的耐心指导下才能完成,感谢”清晨吃馒头“老师。是我学破解路上的一盏明灯。其实不太是想发这篇文章的,因为我连最基本的都算不上,可能自卑吧!不过新手总是要摸索出来的,没有师傅老师带,道路上肯定是坎坎坷坷的。希望对大家有所帮助,新手进来看下,大牛可以飘过,高手请指教。 下面我分享下我的破解过程说实话,做教程发贴不容易,虽然是无声的教程但是文字表示的非常明白和仔细。因为要整理出让人易懂有序的教程比起破软件的时间还要花费更长时间..... 废话不多说了,步入正题:
这狗入口有点不同,005B3D5A >9C pushfd ///域天狗壳,都一样005B3D5B 60 pushad005B3D5C E8 33000000 call 005B3D94005B3D61 5D pop ebp--------------------------------------------------------------------------------------------------------------他是这样的004010CC > /EB10 jmp short 004010DE ///域天狗壳,变样了004010CE |66:623A bounddi, dword ptr 004010D8 |90 nop--------------------------------------------------------------------------------------------------------------
OD载入
F8单步走几下。在命令行输入 hr esp 回车
F9一路运行,最后停在0040D8BD E8 F0FFFFFF call 0040D8B2 //在这里跳往OEP
转储LordPE
IAT脱壳修复 OEP 0040D8B8
脱壳成功,试运行一下,打不开!应有自较验
OD载入dumped_SCY
命令行输入__vabEnd 回车
F9运行
到了这
把005BF068/7514 jnz short 005BF07E 、、、、、、NOP
继续找到所有的__vabEnd005C0FC3 66:837E 3A 00 cmp word ptr , 0x0
005C0FC8 66:C746 38 FFFF mov word ptr , 0xFFFF
005C0FCE 7E 05 jle short 005C0FD5
005C0FD0 E8 CB46FEFF call 005A56A0
005C0FD5 E8 66041700 call 00731440
005C0FDA 66:85C0 test ax, ax
005C0FDD 74 06 je short 005C0FE5 ////////////////////改 jmp
005C0FDF FF15 40104000 call dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005C0FE5 66:833D 7870730>cmp word ptr , 0x0
005C0FED 75 06 jnz short 005C0FF5
005C0FEF FF15 40104000 call dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005C0FF5 E8 A6001700 call 007310A0
005C0FFA 8BF8 mov edi, eax
005C0FFC 66:85FF test di, di
005C0FFF 74 10 je short 005C1011 /////////////////////改 jmp
005C1001 FF15 40104000 call dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005C1007 66:83FF 01 cmp di, 0x1
005C100B 0F84 FB1A0000 je 005C2B0C
005C1011 66:F7DF neg di
005C1014 1BFF sbb edi, edi
005C1016 F7DF neg edi
005C1018 4F dec edi
005C1019 66:893D 4270730>mov word ptr , di
005C1020 E8 AB051700 call 007315D0
005C1025 8BF8 mov edi, eax
005C1027 66:85FF test di, di
005C102A 74 1A je short 005C1046 /////////////////////改 jmp
005C102C FF15 40104000 call dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005C1032 66:83FF 01 cmp di, 0x1
005C1036 0F84 D01A0000 je 005C2B0C
0055314B 81C1 98000000 add ecx, 0x98
00553151 FF15 FC124000 call dword ptr [<&msvbvm60.__vbaStrCo>; msvbvm60.__vbaStrCopy
00553157 C745 FC 0C00000>mov dword ptr , 0xC
0055315E E8 DDE21D00 call 00731440
00553163 0FBFC0 movsx eax, ax
00553166 85C0 test eax, eax
00553168 75 02 jnz short 0055316C /////////////////NOP
0055316A EB 0D jmp short 00553179
0055316C C745 FC 0E00000>mov dword ptr , 0xE
00553173 FF15 40104000 call dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
00553179 C745 FC 1000000>mov dword ptr , 0x10
00553180 0FBF0D 78707300 movsx ecx, word ptr
00553187 85C9 test ecx, ecx
00553189 75 0D jnz short 00553198 /////////////////////改 jmp
0055318B C745 FC 1100000>mov dword ptr , 0x11
00553192 FF15 40104000 call dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
00553198 C745 FC 1300000>mov dword ptr , 0x13
0055319F E8 FCDE1D00 call 007310A0
005531A4 66:8945 DC mov word ptr , ax
005531A8 C745 FC 1400000>mov dword ptr , 0x14
005531AF 0FBF55 DC movsxedx, word ptr
005531B3 85D2 test edx, edx
005531B5 75 02 jnz short 005531B9 /////////////////NOP
005531B7 EB 20 jmp short 005531D9
005531B9 C745 FC 1600000>mov dword ptr , 0x16
005531C0 FF15 40104000 call dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005531C6 C745FC 1700000>mov dword ptr, 0x17
005531CD 66:837D DC 01 cmp word ptr , 0x1
005531E8 C745 FC 1C00000>mov dword ptr , 0x1C
005531EF 66:C705 4270730>mov word ptr , 0xFFFF
005531F8 EB 10 jmp short 0055320A
005531FA C745 FC 1E00000>mov dword ptr , 0x1E
00553201 66:C705 4270730>mov word ptr , 0x0
0055320A C745 FC 2000000>mov dword ptr , 0x20
00553211 E8 BAE31D00 call 007315D0
00553216 66:8945 DC mov word ptr , ax
0055321A C745 FC 2100000>mov dword ptr , 0x21
00553221 0FBF4D DC movsxecx, word ptr
00553225 85C9 test ecx, ecx
00553227 75 02 jnz short 0055322B /////////////////NOP
00553229 EB 33 jmp short 0055325E
0055322B C745 FC 2300000>mov dword ptr , 0x23
00553232 FF15 40104000 call dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
00553238 C745 FC 2400000>mov dword ptr , 0x24
好了,自校验去掉,保存。脱壳到此结束,谢谢观看……………………….
不错,凡是开头难,有了第一次就有成功的机会:lol :lo:dizzy:厉害 写的太好了;P;P;P;P;P;P;P;P 这个壳跟压缩壳一样,不知道怎么回事,官方还不改 hszt 发表于 2021-8-10 20:07
这个壳跟压缩壳一样,不知道怎么回事,官方还不改
可以玩玩九鼎或VIKEY或威步、超级狗的狗壳 可能版本问题:) 厉害!加油! 写的很好,我的打开不是这样 厉害。写的很好。