國慶節大家好!送個小甜餅給大家 ----- 有關Crunch v1.1加殼程式的ProcDump脫殼Script
【宣告】
我寫文章以交流為主,希望大家在轉載時能保持文章的完整性。
【前言】
由於我現在還沒有破解版的Crunch v1.1,所以就拿未註冊版的Crunch來測試。好象未註冊版的Crunch加殼的程式的名字有限制,其他的我就不清楚了。由於我DOWN的這個檔案是根據看雪論壇的一個貼子提供的地址下載的。連幫助檔案也沒有。:-(
目標: 脫殼
作者: ljttt
寫作日期: 2000-10-02
以下是我寫的ProcDump用的Script,把其加入ProcDump的Script.ini檔案就可以了。我測試的結果可以對一些Crunch加殼的程式自動脫殼,在使用時最好選中Option/Rebuild
new import table。不過我用C++Builder3編寫的程式用此自動脫殼測試時有問題。:-(
另外,在使用時最好不要在啟動時載入SoftICE等偵錯程式。本來我想在Script中跳過這些反跟蹤的程式碼的,但是不知道有Script中有哪個指令可以直接設定ESI等暫存器的值,如ESI=10。哪位大蝦知道,還請麻煩你告訴我一聲。我先多謝了。
如果哪位大蝦已經把Crunch.EXE脫殼了,能否通知我一聲,或者簡單說說脫殼的方法。畢竟我自己從頭摸索又要花費大把大把的時間。小弟先作揖了。
[INDEX]
P24=My Crunch 1.1
[My Crunch 1.1]
L1=OBJR
L2=LOOK F3,A4
L3=ADD 2
L4=BP
L5=WALK
L6=OBJR
L7=LOOK FF,D2,CC,CC
L8=BP
L9=MOVE 9
LA=WALK
LB=WALK
LC=LOOK 83,FB,00,7F,F0
LD=ADD 3
LE=BP
LF=WALK
L10=WALK
L11=LOOK 03,C5,FF,E0,FF,A5
L12=ADD 4
L13=BP
L14=WALK
L15=OBJR
L16=LOOK 8B,85,??,??,??,??,01,85,??,??,??,??,FF,A5
L17=ADD C
L18=BP
L19=WALK
L1A=OBJR
L1B=LOOK 61,5D,8B,85,??,??,??,??,5D,FF,E0
L1C=ADD 9
L1D=BP
L1E=STEP
OPTL1=00000000
OPTL2=01010001
OPTL3=01010001
OPTL4=00030000
OPTL5=00000000
【後記】
如果大家在使用時有什麼問題或者有什麼建議,可以給跟帖子說說。