一休论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 132|回复: 1

[图文教程] 一休啦啦-传奇登陆器脱壳+资源修复

[复制链接]
  • TA的每日心情
    擦汗
    2015-2-25 10:43
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2014-10-4 15:24:54 | 显示全部楼层 |阅读模式
    网络广告风险自担 网络广告风险自担
    网络广告风险自担
    传奇登陆器脱壳+资源修复


    大牛请Pass~~~ 吧


    首先PEID查壳
    ASpack2.12 -> Alexey Solodovnikov [Overlay]
    很简单的壳..


    OD载入..

    关键句: pushad ..  OK  ESP定律。
    007B9001 >  60             pushad
    007B9002    E8 03000000     call 永恒盛世.007B900A
    007B9007  - E9 EB045D45     jmp 45D894F7
    007B900C    55             push ebp
    007B900D    C3             retn
    007B900E    E8 01000000     call 永恒盛世.007B9014
    007B9013    EB 5D          jmp short 永恒盛世.007B9072
    007B9015    BB EDFFFFFF     mov ebx,-13
    007B901A    03DD           add ebx,ebp
    007B901C    81EB 00903B00   sub ebx,3B9000
    007B9022    83BD 22040000 0>cmp dword ptr ss:[ebp+422],0
    007B9029    899D 22040000   mov dword ptr ss:[ebp+422],ebx
    007B902F    0F85 65030000   jnz 永恒盛世.007B939A
    007B9035    8D85 2E040000   lea eax,dword ptr ss:[ebp+42E]
    007B903B    50             push eax
    007B903C    FF95 4D0F0000   call dword ptr ss:[ebp+F4D]
    007B9042    8985 26040000   mov dword ptr ss:[ebp+426],eax
    007B9048    8BF8           mov edi,eax

    很快就到OEP了.. 单步走.
    007B939F    50             push eax
    007B93A0    0385 22040000   add eax,dword ptr ss:[ebp+422]
    007B93A6    59             pop ecx
    007B93A7    0BC9           or ecx,ecx
    007B93A9    8985 A8030000   mov dword ptr ss:[ebp+3A8],eax
    007B93AF    61             popad
    007B93B0    75 08          jnz short 永恒盛世.007B93BA
    007B93B2    B8 01000000     mov eax,1
    007B93B7    C2 0C00         retn 0C
    007B93BA    68 FC2F5200     push 永恒盛世.00522FFC
    007B93BF    C3             retn
    007B93C0    8B85 26040000   mov eax,dword ptr ss:[ebp+426]
    007B93C6    8D8D 3B040000   lea ecx,dword ptr ss:[ebp+43B]
    007B93CC    51             push ecx
    007B93CD    50             push eax
    007B93CE    FF95 490F0000   call dword ptr ss:[ebp+F49]
    007B93D4    8985 55050000   mov dword ptr ss:[ebp+555],eax
    007B93DA    8D85 47040000   lea eax,dword ptr ss:[ebp+447]

    删除分析..
    00522FFC      55           db 55                                  ;  CHAR
    'U'
    00522FFD      8B           db 8B
    00522FFE      EC           db EC
    00522FFF      83           db 83
    00523000      C4           db C4
    00523001      F0           db F0
    00523002      B8           db B8
    00523003      5C           db 5C                                  ;  CHAR
    '\'
    00523004      14           db 14
    00523005      52           db 52                                  ;  CHAR
    'R'
    00523006      00           db 00
    00523007      E8           db E8
    00523008      00           db 00
    00523009      41           db 41                                  ;  CHAR
    'A'
    0052300A      EE           db EE
    0052300B      FF           db FF
    0052300C      A1           db A1
    0052300D      74           db 74                                  ;  CHAR
    't'
    0052300E      C2           db C2
    0052300F      52           db 52                                  ;  CHAR
    'R'
    00523010      00           db 00
    00523011      8B           db 8B
    00523012      00           db 00
    00523013      E8           db E8
    00523014      2C           db 2C                                  ;  CHAR
    ','
    00523015      28           db 28                                  ;  CHAR
    '('
    00523016      F5           db F5

    典型的Borland Delphi  入口...   OK
    脱壳..
    00522FFC    55             push ebp
    00522FFD    8BEC           mov ebp,esp
    00522FFF    83C4 F0         add esp,-10
    00523002    B8 5C145200     mov eax,永恒盛世.0052145C
    00523007    E8 0041EEFF     call 永恒盛世.0040710C
    0052300C    A1 74C25200     mov eax,dword ptrds:[52C274]
    00523011    8B00           mov eax,dword ptr ds:[eax]
    00523013    E8 2C28F5FF     call 永恒盛世.00475844
    00523018    A1 74C25200     mov eax,dword ptrds:[52C274]
    0052301D    8B00           mov eax,dword ptr ds:[eax]
    0052301F    33D2           xor edx,edx
    00523021    E8 D622F5FF     call 永恒盛世.004752FC
    00523026    8B0D A4C05200   mov ecx,dword ptrds:[52C0A4]            ; 永恒盛
    世.005331A0
    0052302C    A1 74C25200     mov eax,dword ptrds:[52C274]
    00523031    8B00           mov eax,dword ptr ds:[eax]
    00523033    8B15 60BB5100   mov edx,dword ptrds:[51BB60]            ; 永恒盛
    世.0051BBAC
    00523039    E8 1E28F5FF     call 永恒盛世.0047585C
    0052303E    8B0D 80C45200   mov ecx,dword ptrds:[52C480]            ; 永恒盛
    世.00532F0C
    00523044    A1 74C25200     mov eax,dword ptrds:[52C274]
    00523049    8B00           mov eax,dword ptr ds:[eax]
    0052304B    8B15 74245000   mov edx,dword ptrds:[502474]            ; 永恒盛
    世.005024C0
    00523051    E8 0628F5FF     call 永恒盛世.0047585C
    00523056    8B0D 2CC35200   mov ecx,dword ptrds:[52C32C]            ; 永恒盛
    世.00533018
    0052305C    A1 74C25200     mov eax,dword ptrds:[52C274]




    发现没有OEP.. OK   我们用OD自带的插件找下OEP入口..
    file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif


    OK找到OEP..  122FFC.  这是为什么呢?  好, 我们打开内存看下基子.. 00400000
    用00522FFC-00400000不就是  000122FFC了吗.  OK  继续 用ImportREC修复.
    file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif


    OK 指针全部有效.. 选中修复文件.
    file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif



    打开修复好的文件.  ???  怎么全是白的??  应该是在修复的过程中漏掉的数据..
    file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif


    OK我们用WinHex把原程序的数据复制下在补上去不就OK了?
    1. 先用WinHex打开原程序. 从下网上翻(Ps: 很容易找漏 要注意.)..  一直找到上面全
    是00 00 00 00的这段
    OK 找到00073E00 这段..  从最前面的第一个字节(2)开始右键 选块开始. 一直拖到最后
    面一个字节(也就是001C3400最后一个7) 选块结束..  再 编辑, 复制.
    file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif


    2. 再用WinHex 打开脱过壳的. 拉到最后面(003BFFF0)..  右键 编辑 粘贴  OK保存就
    可以了...





    上一篇:一休啦啦-传奇防火墙怪物DB数据库代码表
    下一篇:一休啦啦-传奇进入游戏黑屏原因
    网络广告风险自担

    该用户从未签到

    发表于 2014-10-25 14:07:10 | 显示全部楼层
    网络广告风险自担
    支持,欢迎加入334164327传奇交流群
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    网络广告风险自担

    小黑屋|传奇一条龙|GM基地|GM版本库|一休论坛

    GMT+8, 2016-12-7 03:56 , Processed in 0.811201 second(s), 86 queries , Gzip On.

    传奇一条龙 GM基地 版本库 传奇论坛 传奇漏洞论坛 传奇服务端下载 传奇版本

    站长QQ:1921249589 一休论坛资料来自网络仅供学习交流之用,用于商业后果自负

    快速回复 返回顶部 返回列表