一点脱壳经验
2006-07-03 20:26:35 来源:WEB开发网在遇到asprotect之前,procdump一直是我最爱的脱壳工具,它能脱的壳很多,操作方便,稳定性好,很少令我失望。直到那一次,一连碰到三个asprotect加壳的软件:
Aspack2.11,加壳软件,asprotect 1.1b 加壳,未注册版有时间限制和功能限制;以前的下载地址找不到了,今天找到一个带破解文件的,URL: http://mud.sz.jsinfo.net/per/aaron/files/compressors/win/aspack211.zip。
Picturetoexe2.30,图片转可执行文件工具,asprotect 1.0 加壳,未注册版制作出得文件有公司标志;http://www.wnsoft.com/apr
Advanced ZIP Password Recovery3.51(azpr),zip密码恢复工具,asprotect 1.1 加壳;未注册版只能破解5位以下密码。ftp://www.newhua.com/azpr.zip
有兴趣的不妨试一试,练练手。
那段时间好痛苦啊。找不到真正的入口点(OEP),中断不了,壳脱不下来,脱下来的又不能运行,真是往事不堪回首。到现在也还谈不上破解,只是想把自己的一点经验写出来,希望弟兄们看了能少走点弯路。
提示:
Aspack用上述方法脱壳修复后,运行时显示
Exception EaccessViolation in module ASPACK_.EXE at 007fb318.
Access violation at address bfc54c.Read of addreds bfc54c.
不能运行。失败。但是可以用rad06(http://mud.sz.jsinfo.net/per/aaron/files/unpackers/win/rad_v06.zip)成功脱壳,脱壳后自动去掉时间限制,但仍为未注册版。 Picturetoexe2.30用上述方法脱壳失败,impREC修复的程序运行时提示非法操作。用caspr v0.952脱壳成功。
Azpr用上述办法修复成功,文件可以运行,但对其进行修改后,提示找不到api函数,不能运行。无奈只能用内存补丁ppatcher3.93。这里有thewd提供的破解方法。
首先在注册表中添加如下内容
[HKEY_LOCAL_MACHINE\Software\Elcom\Advanced ZIP Password Recovery\Registration]
"Code"="00023112193920061941tcKxzxKUhzLjuAAD"
以下是ppatcher配置文件(.ppc)的内容。
-------------------------------------------------------------------
#Process Patcher Configuration File
Version=3.93
WaitForWindowName=AZPR*
PatchAuthor=thewd
PatchContactInformation=thewd@hotmail.com
DisplayName=Advanced ZIP Password Recovery v3.51
Filename=azpr.exe
Filesize=294912
Address=0x416CE7:0x89:0x8B // (1)
Address=0x416CE8:0xC8:0xC2
#End of Configuration File
#Cracking Notes
(1) Registration Code Example: 00023112193920061941tcKxzxKUhzLjuAAD
First 4 characters are ignored.
Next 16 characters are constant (MD5 Hash)
Last 16 characters are hashed (MD5) and compared against
the resource 'DB' for a match.
i.e.
mov eax, ecx (Bad Code) ==> mov eax, edx (Correct Code)
更多精彩
赞助商链接