Jdpack的脱壳及破解

这是一个加壳软件,软件加壳后可以检测trw及sice,它的1.00版检测到trw或sice时只是提示,到了1.01版,检测到就会出现非法操作. 　　未注册版好像没有时间限制,但是给软件加壳后每次运行就会提示"Unregistered JDPack.This file PACKED by Unregistered JDPack1.0* from http://www.tlzj18.com" 　　使用工具:TRW kWDSM 　　下载地址(1.00 and 1.01): http://person.longcity.net/home0/flyfancy/jd.rar 　　脱壳: 　　我最初追踪的是1.00版,当时软件还只是提示,我就很轻易的找到了关键 　　bpx getversionexa 　　g 　　断下后 　　先bc(因为以后有几个getversionexa的调用,但是与脱壳无关) 　　下面会有2个Jz,但是不能让它跳,否则就提示检测到调试器(因为我用的是TRW) 　　输入 r fl z 　　之后就是一个jmp 　　F8继续,后面就很简单了,我只记得快到的时候会有 　　popa 　　jmp eax 　　然后makepe即可 　　1.01的脱壳方法也是 　　bpx getversionexa 　　g 　　就到了这里 　　0187:0040E250 CALL NEAR [EBP 004031B1] //停在这里,先bc 　　0187:0040E256 LEA EBX,[EBP 00403449] 　　0187:0040E25C CMP DWORD [EBX 10],BYTE 01 　　0187:0040E260 JZ 0040E276 (JUMP)//下 r fl z,跳的话就完了. 　　0187:0040E262 CMP DWORD [EBX 10],BYTE 02 　　0187:0040E266 JZ 0040E26A 　　0187:0040E268 JMP SHORT 0040E284 //F8进去 　　0187:0040E284 MOV EDX,[EBP 00403441] //到了这里 　　0187:0040E28A MOV ESI,[EBP 004031D9] 　　0187:0040E290 ADD ESI,EDX 　　0187:0040E292 MOV EAX,[ESI 0C] 　　0187:0040E295 OR EAX,EAX 　　0187:0040E297 JZ NEAR 0040E3EA (NO JUMP) //看到这里吗,就g 40E3EA吧 　　0187:0040E29D ADD EAX,EDX 　　0187:0040E29F MOV [EBP 004031A5],EAX 　　0187:0040E2A5 MOV EBX,EAX 　　0187:0040E3EA MOV EDX,[EBP 00403441] 　　0187:0040E3F0 MOV EAX,[EBP 004031D5] 　　0187:0040E3F6 ADD EAX,EDX 　　0187:0040E3F8 MOV [ESP 1C],EAX 　　0187:0040E3FC POPA 　　0187:0040E3FD PUSH EAX 　　0187:0040E3FE RET // 到了这里,按F8就返回程序的OEP处了,直接makepe即可

最新评论