新手入门学习——脱壳破解练习第一期

新手入门学习——脱壳破解练习第一期
新手入门学习——脱壳破解练习第一期拿到一个软件，先看看是加的什么壳。

用PEiD查得【Upack V0.37-V0.39 -> Dwing *】
接着拿出破解第一要物OD进行脱壳（注意选好点的版本，由于Upack壳做了变形，有些版本的OD打开时会出错，最好是用英文版的）
OD载入……
我使用简单一点的ESP定律。

00401018 > BE B0114000 MOV ESI,脱壳破解.004011B0
0040101D AD LODS DWORD PTR DS:[ESI]
0040101E 50 PUSH EAX
0040101F FF76 34 PUSH DWORD PTR DS:[ESI+34]
00401022 EB 7C JMP SHORT 脱壳破解.004010A0
F8前进到【0040101F】，在寄存器窗口ESP处点右键，在数据窗口跟随【0012FFC0】
如下图：
//数据窗口点右键，下硬件断点。

shift+F9运行
0012FFC0 004011B8 脱壳破解.004011B8
0012FFC4 7C82F23B 返回到 kernel32.7C82F23B
0012FFC8 00000000
//来到OEP，通过观察可以发现，这是一个典型的VB入口。

这里记得要删除硬件断点！004011B8 68 24184000 PUSH 脱壳破解.00401824 //OEP
004011BD E8 EEFFFFFF CALL 脱壳破解.004011B0
004011C2 0000 ADD BYTE PTR DS:[EAX],AL
004011C4 0000 ADD BYTE PTR DS:[EAX],AL 004011C6 0000 ADD BYTE PTR DS:[EAX],AL 004011C8 3000 XOR BYTE PTR DS:[EAX],AL
记录新入口地址【11B8】
接着打开LoadPE进行脱壳
然后使用Import Fix 1.6 进行修复
修复完成后即得到脱壳后的文件，用PeiD查询，果然是VB。

因为UPack对做了变形处理，此时无法用VBExplorer打开，需要先用Upack PE修复工具修复。

修复完成后即可使用VBExplorer顺利的打开文件，修改俺就的Enable属性为True。

保存文件，破解完成
欢迎大家跟我讨论问题（以前玩过一段时间脚本，在局域网放过一两次鸽子，现在条件限制，转行破解了，呵呵）
QQ：61902540（不过最近上网困难，只能靠手机上网，相当痛
苦，如果没即使回复，可论坛PM）Hackhaa
2008年12月31日。