killer_chen 发表于 2021-7-17 23:49:22

菜鸟之YT88带原狗简单脱壳及自校验修复

      业余学很久了,一直没有发过什么有技术含量的文章,以前看了一位大侠的域天狗脱壳文章,也带狗脱了一个简单的域天的壳, 在破之前本以为很简单的事,谁知花了我几天都搞不下。在迷茫之中。得到大神”清晨吃馒头“ 的耐心指导下才能完成,感谢”清晨吃馒头“老师。是我学破解路上的一盏明灯。其实不太是想发这篇文章的,因为我连最基本的都算不上,可能自卑吧!不过新手总是要摸索出来的,没有师傅老师带,道路上肯定是坎坎坷坷的。希望对大家有所帮助,新手进来看下,大牛可以飘过,高手请指教。 下面我分享下我的破解过程
说实话,做教程发贴不容易,虽然是无声的教程但是文字表示的非常明白和仔细。因为要整理出让人易懂有序的教程比起破软件的时间还要花费更长时间..... 废话不多说了,步入正题:
这狗入口有点不同,005B3D5A >9C            pushfd                           ///域天狗壳,都一样005B3D5B    60            pushad005B3D5C    E8 33000000   call   005B3D94005B3D61    5D            pop   ebp--------------------------------------------------------------------------------------------------------------他是这样的004010CC > /EB10         jmp   short 004010DE            ///域天狗壳,变样了004010CE   |66:623A         bounddi, dword ptr 004010D8   |90            nop--------------------------------------------------------------------------------------------------------------
OD载入

F8单步走几下。在命令行输入 hr esp 回车

F9一路运行,最后停在0040D8BD    E8 F0FFFFFF   call   0040D8B2          //在这里跳往OEP

转储LordPE
IAT脱壳修复      OEP 0040D8B8

脱壳成功,试运行一下,打不开!应有自较验
OD载入dumped_SCY
命令行输入__vabEnd 回车

F9运行

到了这

把005BF068/7514 jnz short 005BF07E   、、、、、、NOP
继续找到所有的__vabEnd005C0FC3    66:837E 3A 00   cmp    word ptr , 0x0
005C0FC8    66:C746 38 FFFF mov   word ptr , 0xFFFF
005C0FCE    7E 05         jle   short 005C0FD5
005C0FD0    E8 CB46FEFF   call   005A56A0
005C0FD5    E8 66041700   call   00731440
005C0FDA    66:85C0         test   ax, ax
005C0FDD    74 06         je      short 005C0FE5      ////////////////////改 jmp
005C0FDF    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005C0FE5    66:833D 7870730>cmp   word ptr , 0x0
005C0FED    75 06         jnz   short 005C0FF5
005C0FEF    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005C0FF5    E8 A6001700   call   007310A0
005C0FFA    8BF8            mov   edi, eax
005C0FFC    66:85FF         test   di, di
005C0FFF    74 10         je      short 005C1011      /////////////////////改 jmp
005C1001    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005C1007    66:83FF 01      cmp    di, 0x1
005C100B    0F84 FB1A0000   je      005C2B0C
005C1011    66:F7DF         neg    di
005C1014    1BFF            sbb   edi, edi
005C1016    F7DF            neg   edi
005C1018    4F            dec   edi
005C1019    66:893D 4270730>mov   word ptr , di
005C1020    E8 AB051700   call   007315D0
005C1025    8BF8            mov   edi, eax
005C1027    66:85FF         test   di, di
005C102A    74 1A         je      short 005C1046         /////////////////////改 jmp
005C102C    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005C1032    66:83FF 01      cmp    di, 0x1
005C1036    0F84 D01A0000   je   005C2B0C
0055314B    81C1 98000000   add    ecx, 0x98
00553151    FF15 FC124000   call   dword ptr [<&msvbvm60.__vbaStrCo>; msvbvm60.__vbaStrCopy
00553157    C745 FC 0C00000>mov   dword ptr , 0xC
0055315E    E8 DDE21D00   call   00731440
00553163    0FBFC0          movsx   eax, ax
00553166    85C0            test    eax, eax
00553168    75 02         jnz   short 0055316C             /////////////////NOP
0055316A    EB 0D         jmp   short 00553179
0055316C    C745 FC 0E00000>mov   dword ptr , 0xE
00553173    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
00553179    C745 FC 1000000>mov   dword ptr , 0x10
00553180    0FBF0D 78707300 movsx   ecx, word ptr
00553187    85C9            test    ecx, ecx
00553189    75 0D         jnz   short 00553198         /////////////////////改 jmp
0055318B    C745 FC 1100000>mov   dword ptr , 0x11
00553192    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
00553198    C745 FC 1300000>mov   dword ptr , 0x13
0055319F    E8 FCDE1D00   call   007310A0
005531A4    66:8945 DC      mov    word ptr , ax
005531A8    C745 FC 1400000>mov   dword ptr , 0x14
005531AF    0FBF55 DC       movsxedx, word ptr
005531B3    85D2            test    edx, edx
005531B5    75 02         jnz   short 005531B9      /////////////////NOP
005531B7    EB 20         jmp   short 005531D9
005531B9    C745 FC 1600000>mov   dword ptr , 0x16
005531C0    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
005531C6    C745FC 1700000>mov   dword ptr, 0x17
005531CD    66:837D DC 01   cmp    word ptr , 0x1
005531E8    C745 FC 1C00000>mov   dword ptr , 0x1C
005531EF    66:C705 4270730>mov   word ptr , 0xFFFF
005531F8    EB 10         jmp   short 0055320A
005531FA    C745 FC 1E00000>mov   dword ptr , 0x1E
00553201    66:C705 4270730>mov   word ptr , 0x0
0055320A    C745 FC 2000000>mov   dword ptr , 0x20
00553211    E8 BAE31D00   call   007315D0
00553216    66:8945 DC      mov    word ptr , ax
0055321A    C745 FC 2100000>mov   dword ptr , 0x21
00553221    0FBF4D DC       movsxecx, word ptr
00553225    85C9            test    ecx, ecx
00553227    75 02          jnz   short 0055322B         /////////////////NOP
00553229    EB 33         jmp   short 0055325E
0055322B    C745 FC 2300000>mov   dword ptr , 0x23
00553232    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
00553238    C745 FC 2400000>mov   dword ptr , 0x24

好了,自校验去掉,保存。脱壳到此结束,谢谢观看……………………….




















0xRT 发表于 2021-7-18 06:58:16

不错,凡是开头难,有了第一次就有成功的机会:lol

154231427 发表于 2021-7-18 14:02:09

:lo:dizzy:厉害

appleding 发表于 2021-7-18 18:19:33

写的太好了;P;P;P;P;P;P;P;P

hszt 发表于 2021-8-10 20:07:42

这个壳跟压缩壳一样,不知道怎么回事,官方还不改

0xRT 发表于 2021-8-10 20:23:12

hszt 发表于 2021-8-10 20:07
这个壳跟压缩壳一样,不知道怎么回事,官方还不改

可以玩玩九鼎或VIKEY或威步、超级狗的狗壳

killer_chen 发表于 2021-8-11 20:09:53

可能版本问题:)

skip2 发表于 2021-8-14 18:10:44

厉害!加油!

lsmgys 发表于 2021-9-11 01:39:48

写的很好,我的打开不是这样

lxdz443 发表于 2021-10-24 06:47:28

厉害。写的很好。
页: [1] 2 3
查看完整版本: 菜鸟之YT88带原狗简单脱壳及自校验修复