教程详情
文件下载 | 文件名称:赏金论坛快速接单_软件快速脱壳+破解培训教程 | 文件大小:483.59MB |
| 下载声明:本站文件大多来自于网络,仅供学习和研究使用,不得用于商业用途,如有版权问题,请联系博猪! | ||
| 下载地址: 下载教程 | ||
教程目录:
├─一、ZProtect全系列通杀教程
│ 01 ZProtect 无key脱壳.rar
│ 02 ZP+VMP 双层壳的无key脱壳.rar
│ 03 ZP脱壳补VM区段的一般方法.rar
│ 04 ZP脱壳后有附加数据的处理方法.rar
│
└─二、MoleBox脱壳解包教程
A. 压缩包类的资源提取.rar
B. 压缩包类的资源提取-不同密码类.rar
ZP脱壳补VM区段的一般方法
1. 这个例子是已经InLine Patched好的,我们在此基础上脱壳。
看,发现一个VM区段 脚本自动dump下来了。然后本身有个VM区段,所以这个例子是有2个VM区段要添加的。添加vm区段的方法如下:
我们等脚本跑完,需要点时间,waiting... OD不要关闭。
先看下不补区段的情况,能不能运行,肯定是运行不了的。
先dump ,再补上区段,修正大小,最后修复IAT 。
这2个VM区段 按地址的大小来载入 先载入小的。
ZProtect 无key脱壳 (适用于ZProtect全版本 1.3-1.6版)
先查下壳: 发现是ZProtect 1.49 运行下看看,没有试用功能。 对于这种,可以InLine Patched 或 无KEY脱壳,具体看操作:
1. 先跑一边脚本 ZProtect Full DeCryption & InLine Patcher 1.0.txt 获取一些基本信息,如OEP 、解密密钥
2. 增加个名为.MaThiO 的区段,用LordPE添加3个API,并将text段设置为可写属性
3. 再跑一边脚本 ZProtect Full DeCryption & InLine Patcher 1.0.txt 并保存,用LordPE修改入口为MaThiO 的区段的地址
4. 再跑一边脚本 ZProtect Full DeCryption & InLine Patcher 1.0.txt 找到新的CRC效验的地址,并保存,往下选择10行就差不多了。用LordPE修改入口为MaThiO 的区段的地址
此刻就InLine Patched完了,程序能正常运行了。
如果朋友们有修改资源界面的要求,那就必须脱壳了,脱壳在我们刚刚InLine Patched的基础上跑ZProtect 1.3 - 1.6 MEDIUM Unpacker 1.0.txt 脚本就可以了。具体看操作。
比方说修改标题: 设置节目---》 随便修改
ZP+VMP 双层壳的无key脱壳
1. 先查下壳,发现是ZP+VMP 双层壳 并且是无试用key
2. 思路:先脱掉VMP的壳 剩下ZP壳后按第一节课的方法即可。
a. 先对VMP1区段下内存写入断点,F9运行,看几次程序跑起来,本例是4次,那我们只要3次就可以了,然后删掉内存写入断点;
b. ESP数据窗口中跟随,往下拉,找到下方返回到的上一行下硬件访问--byte ;在ALT+M 在text段下内存访问断点 ,然后不停的按F9,直到停在一个CALL,此刻就是ZP的EP
0012FFC4 7C81776F 返回到 kernel32.7C81776F
c. Dump 出来就是ZP加密的壳子了。
d. 按脱ZP的方法脱壳。看来这个没有CRC效验。 那更简单了。直接省掉一步。再脱壳演示下。
教程截图
教程下载
原文链接:【教程宝盒网】 https://www.jc-box.com/7004.html,转载请注明出处。
请先 !