传奇登陆器脱壳+资源修复
大牛请Pass~~~ 吧
首先PEID查壳 ASpack2.12 -> Alexey Solodovnikov [Overlay]
很简单的壳..
OD载入..
关键句: pushad .. OK ESP定律。
007B9001 > 60 pushad
007B9002 E8 03000000 call 永恒盛世.007B900A
007B9007 - E9 EB045D45 jmp 45D894F7
007B900C 55 push ebp
007B900D C3 retn
007B900E E8 01000000 call 永恒盛世.007B9014
007B9013 EB 5D jmp short 永恒盛世.007B9072
007B9015 BB EDFFFFFF mov ebx,-13
007B901A 03DD add ebx,ebp
007B901C 81EB 00903B00 sub ebx,3B9000
007B9022 83BD 22040000 0>cmp dword ptr ss:[ebp+422],0
007B9029 899D 22040000 mov dword ptr ss:[ebp+422],ebx
007B902F 0F85 65030000 jnz 永恒盛世.007B939A
007B9035 8D85 2E040000 lea eax,dword ptr ss:[ebp+42E]
007B903B 50 push eax
007B903C FF95 4D0F0000 call dword ptr ss:[ebp+F4D]
007B9042 8985 26040000 mov dword ptr ss:[ebp+426],eax
007B9048 8BF8 mov edi,eax
很快就到OEP了.. 单步走.
007B939F 50 push eax
007B93A0 0385 22040000 add eax,dword ptr ss:[ebp+422]
007B93A6 59 pop ecx
007B93A7 0BC9 or ecx,ecx
007B93A9 8985 A8030000 mov dword ptr ss:[ebp+3A8],eax
007B93AF 61 popad
007B93B0 75 08 jnz short 永恒盛世.007B93BA
007B93B2 B8 01000000 mov eax,1
007B93B7 C2 0C00 retn 0C
007B93BA 68 FC2F5200 push 永恒盛世.00522FFC
007B93BF C3 retn
007B93C0 8B85 26040000 mov eax,dword ptr ss:[ebp+426]
007B93C6 8D8D 3B040000 lea ecx,dword ptr ss:[ebp+43B]
007B93CC 51 push ecx
007B93CD 50 push eax
007B93CE FF95 490F0000 call dword ptr ss:[ebp+F49]
007B93D4 8985 55050000 mov dword ptr ss:[ebp+555],eax
007B93DA 8D85 47040000 lea eax,dword ptr ss:[ebp+447]
删除分析..
00522FFC 55 db 55 ; CHAR
'U'
00522FFD 8B db 8B
00522FFE EC db EC
00522FFF 83 db 83
00523000 C4 db C4
00523001 F0 db F0
00523002 B8 db B8
00523003 5C db 5C ; CHAR
'\'
00523004 14 db 14
00523005 52 db 52 ; CHAR
'R'
00523006 00 db 00
00523007 E8 db E8
00523008 00 db 00
00523009 41 db 41 ; CHAR
'A'
0052300A EE db EE
0052300B FF db FF
0052300C A1 db A1
0052300D 74 db 74 ; CHAR
't'
0052300E C2 db C2
0052300F 52 db 52 ; CHAR
'R'
00523010 00 db 00
00523011 8B db 8B
00523012 00 db 00
00523013 E8 db E8
00523014 2C db 2C ; CHAR
','
00523015 28 db 28 ; CHAR
'('
00523016 F5 db F5
典型的Borland Delphi 入口... OK 脱壳..
00522FFC 55 push ebp
00522FFD 8BEC mov ebp,esp
00522FFF 83C4 F0 add esp,-10
00523002 B8 5C145200 mov eax,永恒盛世.0052145C
00523007 E8 0041EEFF call 永恒盛世.0040710C
0052300C A1 74C25200 mov eax,dword ptrds:[52C274]
00523011 8B00 mov eax,dword ptr ds:[eax]
00523013 E8 2C28F5FF call 永恒盛世.00475844
00523018 A1 74C25200 mov eax,dword ptrds:[52C274]
0052301D 8B00 mov eax,dword ptr ds:[eax]
0052301F 33D2 xor edx,edx
00523021 E8 D622F5FF call 永恒盛世.004752FC
00523026 8B0D A4C05200 mov ecx,dword ptrds:[52C0A4] ; 永恒盛
世.005331A0
0052302C A1 74C25200 mov eax,dword ptrds:[52C274]
00523031 8B00 mov eax,dword ptr ds:[eax]
00523033 8B15 60BB5100 mov edx,dword ptrds:[51BB60] ; 永恒盛
世.0051BBAC
00523039 E8 1E28F5FF call 永恒盛世.0047585C
0052303E 8B0D 80C45200 mov ecx,dword ptrds:[52C480] ; 永恒盛
世.00532F0C
00523044 A1 74C25200 mov eax,dword ptrds:[52C274]
00523049 8B00 mov eax,dword ptr ds:[eax]
0052304B 8B15 74245000 mov edx,dword ptrds:[502474] ; 永恒盛
世.005024C0
00523051 E8 0628F5FF call 永恒盛世.0047585C
00523056 8B0D 2CC35200 mov ecx,dword ptrds:[52C32C] ; 永恒盛
世.00533018
0052305C A1 74C25200 mov eax,dword ptrds:[52C274]
发现没有OEP.. OK 我们用OD自带的插件找下OEP入口..
file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif
OK找到OEP.. 122FFC. 这是为什么呢? 好, 我们打开内存看下基子.. 00400000
用00522FFC-00400000不就是 000122FFC了吗. OK 继续 用ImportREC修复.
file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif
OK 指针全部有效.. 选中修复文件.
file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif
打开修复好的文件. ??? 怎么全是白的?? 应该是在修复的过程中漏掉的数据..
file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif
OK我们用WinHex把原程序的数据复制下在补上去不就OK了?
1. 先用WinHex打开原程序. 从下网上翻(Ps: 很容易找漏 要注意.).. 一直找到上面全
是00 00 00 00的这段
OK 找到00073E00 这段.. 从最前面的第一个字节(2)开始右键 选块开始. 一直拖到最后
面一个字节(也就是001C3400最后一个7) 选块结束.. 再 编辑, 复制.
file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif
2. 再用WinHex 打开脱过壳的. 拉到最后面(003BFFF0).. 右键 编辑 粘贴 OK保存就
可以了...
上一篇:一休啦啦-传奇防火墙怪物DB数据库代码表
下一篇:一休啦啦-传奇进入游戏黑屏原因
版权声明
1、本站所有内容均由互联网收集整理、网友上传,仅供大家参考、学习研究使用,不存在任何商业目的与商业用途。
2、论坛的所有内容都不保证其准确性,完整性,有效性,因本站内容因误导等因素而造成的损失本站不承担连带责任。
3、本站以《2013 中华人民共和国计算机软件保护条例》第二章 “软件著作权” 第十七条为原则:为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,若有用户需要商用本站资源,请务必联系版权方购买正版授权!
|