tElock v0.99 EGOiSTE/TMG shuffled

核心提示： .0042E0C5: 8B442404 mov eax,[esp][04].0042E0C9: 8B4C240C mov ecx,[esp][0C].0042E0CD: FF81B8000000 inc d,[ecx][000000B8].0042E0D3: 8B00 mov eax,[e

.0042E0C5: 8B442404　　　　　　　　　　 mov　　　　 eax,[esp][04]
.0042E0C9: 8B4C240C　　　　　　　　　　 mov　　　　 ecx,[esp][0C]
.0042E0CD: FF81B8000000　　　　　　　　 inc　　　　 d,[ecx][000000B8]
.0042E0D3: 8B00　　　　　　　　　　　　 mov　　　　 eax,[eax]
.0042E0D5: 3D940000C0　　　　　　　　　 cmp　　　　 eax,0C0000094 ;"└　?"
.0042E0DA: 7524　　　　　　　　　　　　 jne　　　　.00042E100　-----↓ (1)
.0042E0DC: FF81B8000000　　　　　　　　 inc　　　　 d,[ecx][000000B8]
.0042E0E2: 33C0　　　　　　　　　　　　 xor　　　　 eax,eax
.0042E0E4: 214104　　　　　　　　　　　 and　　　　 [ecx][04],eax
.0042E0E7: 214108　　　　　　　　　　　 and　　　　 [ecx][08],eax
.0042E0EA: 21410C　　　　　　　　　　　 and　　　　 [ecx][0C],eax
.0042E0ED: 214110　　　　　　　　　　　 and　　　　 [ecx][10],eax
.0042E0F0: 816114F00FFFFF　　　　　　　 and　　　　 d,[ecx][14],0FFFF0FF0 ;"???
.0042E0F7: 81611800DC0000　　　　　　　 and　　　　 d,[ecx][18],00000DC00 ;"　▄
.0042E0FE: EB60　　　　　　　　　　　　 jmps　　　 .00042E160　-----↓ (2)
.0042E100: 3D04000080　　　　　　　　　 cmp　　　　 eax,080000004 ;"?　?"
.0042E105: 740C　　　　　　　　　　　　 je　　　　 .00042E113　-----↓ (3)
.0042E107: 3D03000080　　　　　　　　　 cmp　　　　 eax,080000003 ;"?　?"
.0042E10C: 7412　　　　　　　　　　　　 je　　　　 .00042E120　-----↓ (4)
.0042E10E: 6A01　　　　　　　　　　　　 push　　　　001
.0042E110: 58　　　　　　　　　　　　　 pop　　　　 eax
.0042E111: EB4D　　　　　　　　　　　　 jmps　　　 .00042E160　-----↓ (5)

所以停在int3后，把bpm都禁掉，然后bpx 42E091，F5，停在42E091后禁掉所有bpx的断点（后面会有CRC校验），然后下bpm 12ffa4（在程序入口处跟完那个pushad后记下的esp值，如果壳会恢复堆栈的话就可以这样做，但新版aspr不会），F5，ok了，现在停下来的地方就是oep的前一条跳转指令jmp [esp-30]

.0042F7B1: FF6424D0　　　　　　　　　　 jmp　　　　 d,[esp][-30]

在这里把程序dump下来，修改oep，修复imp表，脱壳即告完成。

这里面用到了很多anti技术和内存/文件校验，如果想提高技术的话，最好自己慢慢跟到入口，可能会比较麻烦，小心那些pushf。