FlashFXP v1.4.1 build 823 的脱壳与破解
2007-01-12 20:13:16 来源:WEB开发网核心提示: 当你走到这样的代码:call 583145 时,停一下,FlashFXP v1.4.1 build 823 的脱壳与破解(3),为了偷懒,直接下中断:bpx 583683. F5断下后,看一下这里:* Referenced by a (U)nconditional or (C)onditi
当你走到这样的代码:call 583145 时,停一下,为了偷懒,直接下中断:bpx 583683. F5断下后,一路又要小心了,还有anti-debug,还是那些东东。顺利走过那些陷阱后,到达下面就是终点了:
167:005837AF INT 20
0167:005837B1 POPA
0167:005837B2 JMP NEAR [ESP-30] 《————oep=[esp-30]==535334,
0167:005837B6 ADD BYTE [EAX],00
0167:005837B9 ADD [EAX],AL
0167:005837BB JMP SHORT 005837BE
0167:005837BD MOV EAX,6090C523
0167:005837C2 CALL 005837CD
0167:005837C7 MOV ESP,[ESP+08]
到达535334后,pedump,得到脱壳文件。用importREC 的 Auto trace一次,会发现有138个函数需修正,如果耐心好的话,那就一个一个的搞;不然,想想办法,有窍门的。具体如何修复重建请参考那些高人的教程。
4)先用W32dasm反汇编脱壳文件,在SDR中可以发现 " - Evaluation Copy"。双击它
会找到很多处。看一下这里:
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00525E08(C)
|
:00525E1D 803DA0A0530000 cmp byte ptr [0053A0A0], 00 //比较
:00525E24 7411 je 00525E37------------------>不要跳
* Possible StringData Ref from Code Obj ->"FlashFXP"
|
:00525E26 BAA0615200 mov edx, 005261A0
:00525E2B A120C05300 mov eax, dword ptr [0053C020]
:00525E30 E87F21F2FF call 00447FB4
:00525E35 EB0F jmp 00525E46
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00525E24(C)
|
* Possible StringData Ref from Code Obj ->"FlashFXP - Evaluation Copy"
|
:00525E37 BAB4615200 mov edx, 005261B4
:00525E3C A120C05300 mov eax, dword ptr [0053C020]
:00525E41 E86E21F2FF call 00447FB4
啊,很明显,[0053A0A0]这个内存地址中的值与注册关系满密切的,查找文本
更多精彩
赞助商链接