《吾爱破解培训第二课:实战去广告、弹窗及主页锁定》全流程记录

查看 74|回复 6
作者:mozhongzhou   
环境:win10虚拟机
用到的软件:detect-it-easy,exeinfo,PEID,x32/64dbg
都说新手最懂新手
例1
1、查壳

2、ASLR修复
将exe拖入ALSR修复软件,得到的吾爱破解培训第二课实例一.exe为修复后的程序
吾爱破解培训第二课实例一-org.exe为原程序备份

3、脱壳
3.1、入口断点
注意x32dbg断点位置仅留“入口断点”

3.2、启动x32dbg
用x32dbg打开吾爱破解培训第二课实例一.exe

3.3、使用ESP定律找OEP
3.3.1、F8步过关键句pushad,可以使用ESP定律

3.3.2、断点
在下图所示右下角找到第一行绿色的地址,这就是esp的地址
右键地址,依次选择"断点","硬件断点,访问","4字节"

3.3.3、触发断点
点击断点,切换到下图界面,注意右侧"命中"为0

然后f9运行,发现"命中"变为1

点击CPU切换回来,容易发现大跳转OEP(右边那个“JMP OEP”是我自己写的,你没看到是正常的,双击那一栏可以自行编辑)

3.3.4、找到OEP
点击图示位置,f4运行到OEP,然后f8步进即可到达OEP
f4到00408FF4

f8到达OEP

3.4、使用x32dbg/x64dbg自带的Scylla进行dump和IAT修复
默认调出Scylla的快捷键是ctrl+i
长这个样

3.4.1、转存Dump
点击右边Dump栏里的Dump

我dump的程序名叫“吾爱破解培训第二课实例一_dump.exe”

3.4.2、IAT修复
先设置高级IAT搜索

给他勾上,其余设置不变,点Accept接受

注意OEP地址为00401876,IAT Info栏里的OEP也应该是这个,验证完后点击IAT Autosearch,弹出的框告诉你高级搜索跟普通搜索结果可能不同,点击是。

然后自动获取到了起始点VA和大小Size

注意还没完,点击Get Imports获取导入表,要删除Invalid和Suspect的对象!

这么操作,先点击Show Invalid,他会自动选中所有invalid的对象,然后按delete

同理点击Show Suspect,delete掉所有suspect对象
最后点击右侧Dump栏里的Fix Dump,选择“吾爱破解培训第二课实例一_dump.exe”

未完

断点, 吾爱

ayx2012   

感谢分享 楼主辛苦
sadffg   

感谢分享,有时间学习一下。
chenzh0605   

感谢分享
_小白   

确实是很好的新手教程
loading666   

感谢分享
LQ789   

谢谢大佬,收藏学习,希望进步
您需要登录后才可以回帖 登录 | 立即注册

返回顶部