脫PicturesToExe v3.60的殼
有人問這個呀,這是最後一次複習了,簡寫一下。
unpack(2001.9.15)
由於是delphi程式利用快速尋找aspr入口的方法:
執行apr.exe,用prodump選dump(full)脫殼,存為dump.exe。接著用winhex開啟dump.exe,選擇搜尋文字,填runtime,執行搜尋,搜到後,向前找到離runtime最近的機器碼為55
8B EC的地方就是程式的oep,而在apr裡這個位置在offset:0011EC34處,用peditor的flc功能將它轉換為virtual address就是0051EC34----oep。
ok,下面要在入口處脫殼,開啟SuperBPM,點erase,用trw載入apr.exe,下g 0051EC34,下suspend。用prodump選apr程式dump(full),再打ctrl+n,f5。
接著用ImportREC1.2final修復import table
1 001241F8
KERNEL32.dll 0151 GetCommandLineA
1 001242EC KERNEL32.dll 033C
WinExec
1 00124338 KERNEL32.dll
024C LockResource
1 0012437C
KERNEL32.dll 01E9 GetVersion
1 001243D4 KERNEL32.dll 0163
GetCurrentProcessId
1 001243DC KERNEL32.dll
013D FreeResource
1 0012441C
KERNEL32.dll 00C7 CreateProcessA
選add new section,然後點fix dump。
最後把dump_.exe的ep改成0011EC34。這個我以前疏忽了,ImportREC修完程式後會在後面加_,所以以前的都是改dump_.exe。
這是我唯一見過的一個脫殼後能正常執行的軟體了。
我寫的夠多啦,不是特別難,。
crack我可不管了,誰有時間就來試試吧。
2001.9.15
zombieys[CCG]
―――――――――――――――――――――――――――――――>
.-" "-. unpacked
by zombieys[CCG] >
/ \ qq:1789655
>
| ★ | http://zombieys.yeah.net
>
|, .-. .-.
,| http://zombieys.126.com >
|)(__/ \__)(| zombieys.cn.hongnet.com
>
|/
/\ \|
>
(@_@)
(_ ^^ _) Thanks for your
supports >
_ )\_______\__|IIIIII|__/_____
>
_)@8@8{}<________|-\IIIIII/-|____China Crack Group_zombieys___>