脱Insta3D version 2.0（Vbox420)的壳

核心提示：方法一：手动脱壳目标文件：Insta3De.exe （1,149,724 字节）使用工具：Soft-ice 405 、Procdump1.6.5 、Icedump6015前言：由于我没找到用Vbox430保护的软件，所以用Insta3D version 2.0代替，脱Insta3D version 2.0（Vbox42

方法一：手动脱壳

目标文件：Insta3De.exe （1,149,724 字节）

使用工具：Soft-ice 405 、Procdump1.6.5 、Icedump6015

前言：由于我没找到用Vbox430保护的软件，所以用Insta3D version 2.0代替。Vbox420和Vbox430的脱壳方法差不多，希望这篇文章能起到抛砖引玉的作用。另外请使用Icedump6014或以上版本，我会用到它的新指令‘pagein b'，因为这个指令比‘pagein d'要好:-D

***********************************************************

启动Windows加载Soft-ice，加载Icedump，运行Procdump32，点击其中的‘Bhrama Server'，运行Insta3D，出现干挠画面。Ctrl-D叫出Sice，下‘Bpx getprocaddress'后退出，点击一下Try，拦下后下‘BD *'清断点，按几次F12（第2次会很长时间）直到这里：

0137:00E80413 FFD6　　　　CALL ESI　　* 这里设断点 *
0137:00E80415 5B　　　　　POP EBX
0137:00E80416 85C0　　　　TEST EAX,EAX
0137:00E80418 742E　　　　JZ 00E80448
0137:00E8041A 6800800000　PUSH 00008000
0137:00E8041F 6A00　　　　PUSH 00
0137:00E80421 56　　　　　PUSH ESI
0137:00E80422 8B750C　　　MOV ESI,[EBP+0C]
0137:00E80425 FF5678　　　CALL [ESI+78]
0137:00E80428 8B4508　　　MOV EAX,[EBP+08]

在CALL ESI处设断点（注意你们的内存地址和我的不同，请参照CODE），按一下F5，又被拦下，按F8进入，然后一直按F10来到这里：

0137:00EA0242 55　　　　PUSH EBP
0137:00EA0243 E8A7000000 CALL 00EA02EF * 这里按F8进入 *
0137:00EA0248 83C408　　ADD ESP,08
0137:00EA024B 85C0　　　TEST EAX,EAX
0137:00EA024D 750A　　　JNZ 00EA0259
0137:00EA024F 5F　　　　POP EDI
0137:00EA0250 5E　　　　POP ESI
0137:00EA0251 5D　　　　POP EBP
0137:00EA0252 5B　　　　POP EBX 
0137:00EA0253 83C410　　ADD ESP,10

在EA0243处按F8进入，之后小心按F10来到这里：

0137:00EA0383 EB1C　JMP 00EA03A1
0137:00EA0385 8B45F8 MOV EAX,[EBP-08] 
0137:00EA0388 8B4814 MOV ECX,[EAX+14]
0137:00EA038B 894DEC MOV [EBP-14],ECX
0137:00EA038E 8B5DEC MOV EBX,[EBP-14]
0137:00EA0391 FFE3　JMP EBX　　　　　　　* 这里会跳到主程序 *
0137:00EA0393 8B55F8 MOV EDX,[EBP-08]
0137:00EA0396 8B4214 MOV EAX,[EDX+14]
0137:00EA0399 8945F0 MOV [EBP-10],EAX 
0137:00EA039C 8B4DF0 MOV ECX,[EBP-10] 

执行到EA0391会跳动到主程序，如下：

0137:004E8E8F CC　　　　　　INT 3
0137:004E8E90 55　　　　　　PUSH EBP 　* 我们停在这里 *
0137:004E8E91 8BEC　　　　　MOV EBP,ESP
0137:004E8E93 6AFF　　　　　PUSH FF
0137:004E8E95 68D8285B00　　PUSH 005B28D8
0137:004E8E9A 6850E14E00　　PUSH 004EE150
0137:004E8E9F 64A100000000　MOV EAX,FS:[00000000]
0137:004E8EA5 50　　　　　　PUSH EAX
0137:004E8EA6 64892500000000 MOV FS:[00000000],ESP 
0137:004E8EAD 83C4A4　　　　ADD ESP,-5C

来到4E8E90后开始脱壳，下‘PAGEIN B PROCDUMP32 - DUMPER SERVER'指令，至此脱壳完毕。是不是很快？我只用了30秒:)

************************************************************

此软件脱壳后有3M多，由于我的机器比较慢:(所以没有反汇编破解。评估版好象关闭了一项功能，如果哪位高手破了它请告诉小弟或把它帖出来:-)

方法二、用 Procdump脱壳

首先你的 Procdump版本要是1.6.2FINAL。

你在 Procdump安装目录下会看到这一目录：Vbox42。另外，用 Procdump脱壳你必需保证你的VBOX保护程序能正常运行。

1、运行 Procdump，选中Bhrama server按钮, 让 Procdump进入Bhrama Services状态。

2、然后在Procdump安装目录下的Vbox42目录里运行Unbox.exe，选中所需的VBOX4.2保护的应用软件，运行，直到程序完全运行结束，会跳出另存的对话框，脱壳结束。