中国IT动力,最新最全的IT技术教程
最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档
首 页 | 程序开发 | 操作系统 | 软件应用 | 图形图象 | 网络应用 | 精文荟萃 | 教育认证 | 硬件维护 | 未整理篇 | 站长教程
ASP JS PHP工程 ASP.NET 网站建设 UML J2EESUN .NET VC VB VFP 网络维护 数据库 DB2 SQL2000 Oracle Mysql
服务器 Win2000 Office C DreamWeaver FireWorks Flash PhotoShop 上网宝典 CorelDraw 协议大全 网络安全 微软认证
硬件维护  CPU  主板  硬盘  内存  显卡  显示器  键盘鼠标  声卡音箱  打印机  机箱电源  BIOS  网卡  C#  Java  Delphi  vs.net2005
  当前位置:> 看雪学院专区 > 脱壳技术 > Asprotect
mmxbricksht破解
作者:十三少 时间:2005-09-11 22:08 出处:www.pediy.com 责编:bighearted
              摘要:mmxbricksht破解
这是一个游戏程序,即防ICE又防TRW,而且还加了壳,我真是拿它没办法!
软件下载:http://go.163.com/~szycool/crackme/mmxbricksht.zip

标 题:普通的Asprotect保护,你用TRW2000前先:faults off。Import表就在idata里:464000.你也可按我以前的方法定... (159字)
发信人:看雪
时 间:2000-6-10 23:29:11
阅读次数:66
详细信息:

普通的Asprotect保护,你用TRW2000前先:faults off。Import表就在idata里:464000.你也可按我以前的方法定位,得到结果一至。今天我要休息,到此为止。

标 题:代码是动态变化的,每次都不一样。另外你自己还需要dump取正确的Import表替换旧的才行。 (2千字)
发信人:看雪
时 间:2000-6-11 10:55:35
详细信息:

前面的代码每次不一样,你只能以机器码和后面的指令来参考。

:bpx loadlibrarya

0137:005693D8 EB13              JMP    005693ED
0137:005693DA E9A907FFFF        JMP    00559B88
0137:005693DF 66B80E00          MOV    AX,000E
0137:005693E3 E814F2FFFF        CALL    005685FC
0137:005693E8 E80709FFFF        CALL    00559CF4
0137:005693ED 8B4508            MOV    EAX,[EBP+08]
0137:005693F0 8D4818            LEA    ECX,[EAX+18]
0137:005693F3 8B4508            MOV    EAX,[EBP+08]
0137:005693F6 8B10              MOV    EDX,[EAX]
0137:005693F8 8B4508            MOV    EAX,[EBP+08]
0137:005693FB 8B401C            MOV    EAX,[EAX+1C]
0137:005693FE E881F7FFFF        CALL    00568B84—————进去
0137:00569403 5F                POP    EDI
0137:00569404 5E                POP    ESI
0137:00569405 5B                POP    EBX
0137:00569406 59                POP    ECX
0137:00569407 59                POP    ECX
0137:00569408 5D                POP    EBP

来到:
0137:005652CC 61                POPAD
0137:005652CD EB01              JMP    005652D0
0137:005652CF E850EB02E9        CALL    E9593E24
0137:005652D4 17                POP    SS
0137:005652D5 E802000000        CALL    005652DC———进去
0137:005652DA E91758C35B        JMP    5C19AAF6
0137:005652DF 59                POP    ECX
0137:005652E0 59                POP    ECX
0137:005652E1 5D                POP    EBP

来到:
0137:0045FA1C 55                PUSH    EBP—————入口点
0137:0045FA1D 8BEC              MOV    EBP,ESP
0137:0045FA1F 83C4F4            ADD    ESP,FFFFFFF4
0137:0045FA22 53                PUSH    EBX
0137:0045FA23 B87CF84500        MOV    EAX,0045F87C
0137:0045FA28 E83765FAFF        CALL    00405F64
0137:0045FA2D 8B1D7C0F4600      MOV    EBX,[00460F7C]
0137:0045FA33 8B03              MOV    EAX,[EBX]
0137:0045FA35 E8EA58FEFF        CALL    00445324
0137:0045FA3A 8B03              MOV    EAX,[EBX]
0137:0045FA3C BA00FB4500        MOV    EDX,0045FB00
0137:0045FA41 E80255FEFF        CALL    00444F48
0137:0045FA46 8B0DAC0E4600      MOV    ECX,[00460EAC]

标 题:重建Import表的一些步骤提示: (413字)
发信人:看雪
时 间:2000-6-17 12:24:23
详细信息:

程序入口地址:0045fa1c
需要重建import表 RAV:00064000 


先用bpx loadlibrarya do "dd*(esp+4)"
两三下后,数据区显示为KERNEL32.DLL
此时dump取Import表。
w 64000 l 3000

来到入口点0045fa1c dump取整个程序。
然后用 Procdump打开这个程序,看到idata的RAW office=60400 RAW size=221c
用Hex Workshop打开刚dump的Import表,选取大小221c.替换到主程序的60400处,大小221c,并修正Import表的值为64000
这样程序完全可运行。
关闭本页
 
首页 | 投资与合作 | 服务条款 | 隐私政策 | 收藏本站 | 设为首页 | 新用户注册 | 免责声明 | 使用帮助
Copyright ©2005-2008 chinaitpower.com All rights reserved. www.chinaitpower.com 版权所有