這是一個加殼軟件,軟件加殼后可以檢測trw及sice,它的1.00版檢測到trw或sice時只是提示,到了1.01版,檢測到就會出現(xiàn)非法操作. 　　未注冊版好像沒有時間限制,但是給軟件加殼后每次運行就會提示"Unregistered JDPack.This file PACKED by Unregistered JDPack1.0* from http://www.tlzj18.com" 　　使用工具:TRW kWDSM 　　下載地址(1.00 and 1.01): http://person.longcity.net/home0/flyfancy/jd.rar 　　脫殼: 　　我最初追蹤的是1.00版,當(dāng)時軟件還只是提示,我就很輕易的找到了關(guān)鍵 　　bpx getversionexa 　　g 　　斷下后 　　先bc(因為以后有幾個getversionexa的調(diào)用,但是與脫殼無關(guān)) 　　下面會有2個Jz,但是不能讓它跳,否則就提示檢測到調(diào)試器(因為我用的是TRW) 　　輸入 r fl z 　　之后就是一個jmp 　　F8繼續(xù),后面就很簡單了,我只記得快到的時候會有 　　popa 　　jmp eax 　　然后makepe即可 　　1.01的脫殼方法也是 　　bpx getversionexa 　　g 　　就到了這里 　　0187:0040E250 CALL NEAR [EBP 004031B1] //停在這里,先bc 　　0187:0040E256 LEA EBX,[EBP 00403449] 　　0187:0040E25C CMP DWORD [EBX 10],BYTE 01 　　0187:0040E260 JZ 0040E276 (JUMP)//下 r fl z,跳的話就完了. 　　0187:0040E262 CMP DWORD [EBX 10],BYTE 02 　　0187:0040E266 JZ 0040E26A 　　0187:0040E268 JMP SHORT 0040E284 //F8進(jìn)去 　　0187:0040E284 MOV EDX,[EBP 00403441] //到了這里 　　0187:0040E28A MOV ESI,[EBP 004031D9] 　　0187:0040E290 ADD ESI,EDX 　　0187:0040E292 MOV EAX,[ESI 0C] 　　0187:0040E295 OR EAX,EAX 　　0187:0040E297 JZ NEAR 0040E3EA (NO JUMP) //看到這里嗎,就g 40E3EA吧 　　0187:0040E29D ADD EAX,EDX 　　0187:0040E29F MOV [EBP 004031A5],EAX 　　0187:0040E2A5 MOV EBX,EAX 　　0187:0040E3EA MOV EDX,[EBP 00403441] 　　0187:0040E3F0 MOV EAX,[EBP 004031D5] 　　0187:0040E3F6 ADD EAX,EDX 　　0187:0040E3F8 MOV [ESP 1C],EAX 　　0187:0040E3FC POPA 　　0187:0040E3FD PUSH EAX 　　0187:0040E3FE RET // 到了這里,按F8就返回程序的OEP處了,直接makepe即可

最新評論