Vampp 2.0.8 Build 311的脱壳(Vbox 4.10),Vampp,商用保护技术 2008年06月23日 星期一 下午 11:14 Vampp 2.0.8 Build 311的脱壳(Vbox 4.10) 说明: 一个英文版奶牛育种管理软件 工具: SoftICE 4.05; FrogsICE v1.07.3; ProcDump 1.6.2 Final 下载: http://www.modernagri.com/vampp208.exe 感谢: 看雪及看雪教学上的**和dEZZY的两篇文章 该程序被Vbox 4.10加壳,本人正在学习Vbox 4.30的去壳,学了很长时间,按看雪的教程中的关于Vbox 4.3去壳的两篇文章去做,还是没有把Visual SlickEdit v6.0的壳去掉,感觉就差那么一点点儿,(因为已经看到了教程所述的那几段代码,但程序就是不执行到那)如果哪位高手解了,请贴出来,本人也想学习学习。但从练习Vbox 4.30中也长了不少知识,轻松把Vampp.exe的壳去掉了。闲话少说,开始吧。 1. 运行SoftICE。 2. 运行FrogsICE,除了默认的Options外,还要选中Force int3 hook和Force int3 SEH两项。 3. 运行Vampp.exe。 4. 进入Softice。设断 bpx getprocaddress。 5. F5返回,单击Try Vampp按钮,这时会被Softice拦回。 6. bd *之后,按F12,不多不少,正好4次,其中,第2次时间稍长,至如下代码 :00E33020 FF15A830E300 call [00E330A8] :00E33026 68FFFFFFFF push FFFFFFFF :00E3302B FFD0 call eax ====> eax的值即为入口点,记下入口点的值:401530 :00E3302D C20C00 ret 000C 7. 执行到E3302B时,修改E3302B,下a e3302b,将call eax,改为jmp eip,F5退出 8. 运行ProcDump,找到Vampp,鼠标右键选择dump full,保存文件名为Vampp1.exe 9. 用Procdump的PE Editor修改Entry Point的值为0001530。OK,保存文件。 10. 试着运行一下程序,已经没有Vbox 4.10的保护了,脱壳成功。 用TRW2000进行脱壳的过程与上面基本类似,也是到上面的代码处(TRW2000在E33020处显示为call Vboxb410!ord_00000001),至E3302B时,按F8,然后执行PEDUMP即可 我还试了另外的一个被Vbox 4.10加壳的软件,与上面的脱壳流程完全一样 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 11:40 , Processed in 0.170770 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.