4.)修补dump出来的文件:
打开peditor,装入1.exe.点击section按钮,右键选dumpfixer,最后exit.
5.)修补import表:
运行ImportREC1.2beta2,在Attach to an Active Process下拉框中选中importrec.exe
(首先确保原来的程序在运行),然后在左下方OEP中输入C3E28就是(47e910-400000),按IAT AutoSearch。出现对话框Found Something!=》“Found address which may be in the Original IAT.Try 'Get Import'”按Get Import,再按Show Invalids 按钮,在Imported Function Found框中会有很多蓝色的项目。
在其中点右键,选Trace Level1(Disasm),再按Show Invalids 按钮,可以看到所有的dll都为valid:YES字样。输入表到此完成。
再选择Add new section(缺省是选上的),按Fix Dump,并选择刚才Dump出来的文件1.exe。
ImpRECT 会在该文件所在目录生成一个新的文件:test_.exe ,这就是修复后的文件。
至此"脱壳"工作终于大功告成,点击1_.exe可以运行了。
呵呵:
关于为什么一开始我mail给night007的软件不好使,是因为我没做第五步,但是没修补import表却可以在本机上正常运行,这是什么意思,请高手指点一二.
二)爆破开始了(我虽然是个侦探,可是我可不愿算那可恶的注册码 <<----这个家伙又在吹,他不行).
打开软件,来到注册画面,添入注册码(假的,要和用户名<机器生成码>一样长呀,不然注册按钮不可用)
我添的是:
默认的注册名,和注册名一样常的1111111....注册码!!
打开softice,设断点bpx hmemcpy--->Ctrl+n---->点击注册---->F12来到程序领空.
再一路按F10来到:0167:004A1DAD CALL 00403F840167:004A1DB2 MOV EDX,[EBP-24]0167:004A1DB5 POP EAX0167:004A1DB6 CALL 00403E8C0167:004A1DBB JZ 004A1DC10167:004A1DBD MOV BYTE PTR [EBP-09],000167:004A1DC1 DEC EBX0167:004A1DC2 TEST EBX,EBX0167:004A1DC4 JNZ 004A1D7A0167:004A1DC6 CMP BYTE PTR [EBP-09],000167:004A1DCA JZ 004A1F64 --->关键跳.上面的算法太复杂.我不干了0167:004A1DD0 LEA EDX,[EBP-28]0167:004A1DD3 MOV EAX,[ESI+000002FC]0167:004A1DD9 CALL 0042D8D4
