这是一个加壳软件,软件加壳后可以检测trw及sice,它的1.00版检测到trw或sice时只是提示,到了1.01版,检测到就会出现非法操作. 未注册版好像没有时间限制,但是给软件加壳后每次运行就会提示"Unregistered JDPack.This file PACKED by Unregistered JDPack1.0* from http://www.tlzj18.com" 使用工具:TRW kWDSM 下载地址(1.00 and 1.01): http://person.longcity.net/home0/flyfancy/jd.rar 脱壳: 我最初追踪的是1.00版,当时软件还只是提示,我就很轻易的找到了关键 bpx getversionexa g 断下后 先bc(因为以后有几个getversionexa的调用,但是与脱壳无关) 下面会有2个Jz,但是不能让它跳,否则就提示检测到调试器(因为我用的是TRW) 输入 r fl z 之后就是一个jmp F8继续,后面就很简单了,我只记得快到的时候会有 popa jmp eax 然后makepe即可 1.01的脱壳方法也是 bpx getversionexa g 就到了这里 0187:0040E250 CALL NEAR [EBP 004031B1] //停在这里,先bc 0187:0040E256 LEA EBX,[EBP 00403449] 0187:0040E25C CMP DWORD [EBX 10],BYTE 01 0187:0040E260 JZ 0040E276 (JUMP)//下 r fl z,跳的话就完了. 0187:0040E262 CMP DWORD [EBX 10],BYTE 02 0187:0040E266 JZ 0040E26A 0187:0040E268 JMP SHORT 0040E284 //F8进去 0187:0040E284 MOV EDX,[EBP 00403441] //到了这里 0187:0040E28A MOV ESI,[EBP 004031D9] 0187:0040E290 ADD ESI,EDX 0187:0040E292 MOV EAX,[ESI 0C] 0187:0040E295 OR EAX,EAX 0187:0040E297 JZ NEAR 0040E3EA (NO JUMP) //看到这里吗,就g 40E3EA吧 0187:0040E29D ADD EAX,EDX 0187:0040E29F MOV [EBP 004031A5],EAX 0187:0040E2A5 MOV EBX,EAX 0187:0040E3EA MOV EDX,[EBP 00403441] 0187:0040E3F0 MOV EAX,[EBP 004031D5] 0187:0040E3F6 ADD EAX,EDX 0187:0040E3F8 MOV [ESP 1C],EAX 0187:0040E3FC POPA 0187:0040E3FD PUSH EAX 0187:0040E3FE RET // 到了这里,按F8就返回程序的OEP处了,直接makepe即可
上一页
1
2
3
下一页
阅读全文
本文由 华域联盟 原创撰写:华域联盟 » Jdpack的脱壳及破解
转载请保留出处和原文链接:https://www.cnhackhy.com/127801.htm
