这小节介绍了查壳(peid) 查软件编写语言(die)以及用esp定律脱aspack壳,最后是破解bc++的自校验部分

 

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

目标:

shark恒破解笔记6-BC++假自效验 随笔 第1张

 

 

首先查看软件

peid查壳

shark恒破解笔记6-BC++假自效验 随笔 第2张

 

有壳 ,但是不知道是什么语言写的,这里使用DIE查看

 

shark恒破解笔记6-BC++假自效验 随笔 第3张

 

 esp脱壳

od打开可看到,pushad等特征,标准的esp定律

shark恒破解笔记6-BC++假自效验 随笔 第4张

F8执行后 esp变化

shark恒破解笔记6-BC++假自效验 随笔 第5张

shark恒破解笔记6-BC++假自效验 随笔 第6张

F9 来到这里

shark恒破解笔记6-BC++假自效验 随笔 第7张

F8执行到这里 到达oep 这里通过oep特征的对比确定这里就是入口点

shark恒破解笔记6-BC++假自效验 随笔 第8张

对比

shark恒破解笔记6-BC++假自效验 随笔 第9张

这里记下入偏移

shark恒破解笔记6-BC++假自效验 随笔 第10张

 

lordpe

shark恒破解笔记6-BC++假自效验 随笔 第11张

 

shark恒破解笔记6-BC++假自效验 随笔 第12张

 

 REC修复函数

 然后我们用REC来修复函数,自动搜索IAT

shark恒破解笔记6-BC++假自效验 随笔 第13张

 

 获取导入表---》修正转储

shark恒破解笔记6-BC++假自效验 随笔 第14张

 

这里就算脱完了 但是打不开 因为有自校验

 

破解bc++自校验

  1. 在OD中,找到OEP,向下翻到第一个call,双击一下这行代码


      shark恒破解笔记6-BC++假自效验 随笔 第15张  

    会来到一块内存区域


      shark恒破解笔记6-BC++假自效验 随笔 第16张  
    随后,向上翻到段首,在下图中是547E28处
      shark恒破解笔记6-BC++假自效验 随笔 第17张  

  2. 在547E28处,右键,选择”数据窗口中更随”,在OD的数据窗口中会显示如下:


      shark恒破解笔记6-BC++假自效验 随笔 第18张  

    计算出偏移量 56E114 - 400000 = 16E114

  3. 打开ImpREC,把上一步中算出来的16E114复制到如图:


      shark恒破解笔记6-BC++假自效验 随笔 第19张  

    然后再重新“转储到文件”

  4. 这个时候,生成的文件就可以正常运行了。

总结一下,从这集中学到的:

  • BC++假自校验的处理方法
  • LordPE和ImpREC如何用于把脱壳后的程序给转储出来

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄