Vampp 2.0.8 Build 311的脫殼(Vbox 4.10)
說明: 一個英文版奶牛育種管理軟體
工具: SoftICE 4.05; FrogsICE v1.07.3; ProcDump 1.6.2 Final
下載: http://www.modernagri.com/vampp208.exe
感謝: 看雪及看雪教學上的冰毒和dEZZY的兩篇文章
該程式被Vbox 4.10加殼,本人正在學習Vbox 4.30的去殼,學了很長時間,按看雪的教程中的關於Vbox 4.3去殼的兩篇文章去做,還是沒有把Visual
SlickEdit v6.0的殼去掉,感覺就差那麼一點點兒,(因為已經看到了教程所述的那幾段程式碼,但程式就是不執行到那)如果哪位高手解了,請貼出來,本人也想學習學習。但從練習Vbox
4.30中也長了不少知識,輕鬆把Vampp.exe的殼去掉了。閒話少說,開始吧。
1. 執行SoftICE。
2. 執行FrogsICE,除了預設的Options外,還要選中Force int3 hook和Force int3 SEH兩項。
3. 執行Vampp.exe。
4. 進入Softice。設斷 bpx getprocaddress。
5. F5返回,單擊Try Vampp按鈕,這時會被Softice攔回。
6. bd *之後,按F12,不多不少,正好4次,其中,第2次時間稍長,至如下程式碼
:00E33020 FF15A830E300 call [00E330A8]
:00E33026 68FFFFFFFF push FFFFFFFF
:00E3302B FFD0 call eax
====> eax的值即為入口點,記下入口點的值:401530
:00E3302D C20C00 ret 000C
7. 執行到E3302B時,修改E3302B,下a e3302b,將call eax,改為jmp eip,F5退出
8. 執行ProcDump,找到Vampp,滑鼠右鍵選擇dump full,儲存檔名為Vampp1.exe
9. 用Procdump的PE Editor修改Entry Point的值為0001530。OK,儲存檔案。
10. 試著執行一下程式,已經沒有Vbox 4.10的保護了,脫殼成功。
用TRW2000進行脫殼的過程與上面基本類似,也是到上面的程式碼處(TRW2000在E33020處顯示為call Vboxb410!ord_00000001),至E3302B時,按F8,然後執行PEDUMP即可
我還試了另外的一個被Vbox 4.10加殼的軟體,與上面的脫殼流程完全一樣
這時我第一個脫殼作品