聚合Vip网络社区 集合 HK共享吧 合购VIP等精品教程

 找回密码
 立即注册

QQ登录

只需一步,快速开始

关闭
聚合Vip社区
欢迎QQ或来电咨询
工作时间:周一至周五
AM9:00-PM22:00
淘宝店铺 淘宝皇冠店铺
论坛邀请码
查看: 1903|回复: 14

ZProtect 1.4.9.0 脱壳+修复CODE Start 包含是REC获取IAI中RVA的起始位置

[复制链接]

13

主题

0

听众

574

积分

高级会员

Rank: 4

该用户从未签到

发表于 2014-11-25 23:58:27 |显示全部楼层

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

立即注册 已有账号?点击登录 或者 用QQ帐号登录

x
免责声明:以下资源由聚合VIP资源网整理提供,本资源来源于网络仅供用户学习交流之用,版权归资源方所有,本网站不承担任何法律风险,请自觉在下载学习后24小时内删除,不得用作商业用途;如果喜欢请购买正版资源。谢谢
本帖最后由 a563975491 于 2013-8-6 09:49 编辑


【文章标题】: ZProtect 1.4.9.0


【文章作者】: ylca




【软件名称】: QQ游戏号码采集器V5.0


【作者声明】: 我是一只菜鸟 , 看了Rookietp老大的几课教程,受益匪浅


                     前辈一句话言简意赅,高谈阔论浮夸的文字早已视而不见  


--------------------------------------------------------------------------------


【详细过程】


PEID


  1. bp DialogBoxIndirectParamA  F9运行
  2. 程序会弹出提示窗口  点确定后  程序断下来

  3. 77D56D7D > 8BFF mov edi,edi ////来到这里
  4. 77D56D7F 55 push ebp
  5. 77D56D80 8BEC mov ebp,esp
  6. 77D56D82 6A 02 push 0x2
  7. 77D56D84 FF75 18 push dword ptr ss:[ebp+0x18] ; QQ游戏号.004E0000
  8. 77D56D87 FF75 14 push dword ptr ss:[ebp+0x14] ; QQ游戏号.00400000

  9. 我们看下堆栈

  10. 0012FE80 00F5243B
  11. 0012FE84 00F53D8F
  12. 0012FE88 00000238
  13. 0012FE8C 00F1155E 返回到 00F1155E 来自 00F10550 ////右键 反汇编窗口中跟随
  14. 0012FE90 00000006
  15. 0012FE94 004E0092 QQ游戏号.004E0092

  16. 来到这里

  17. 00F11555 /74 21 je short 00F11578 ////下硬件执行断点, 这个JE是跳过注册框的,大家可以试试,让这个JE跳 程序就会运行 直接绕过注册框 我运行一次 直接跳过了
  18. 00F11557 |8B聚合币 mov ecx,ebx
  19. 00F11559 |E8 F2EFFFFF call 00F10550
  20. 00F1155E |3D 2C230000 cmp eax,0x232C ////这个是我们刚才返回的地方
  21. 00F11563 |74 13 je short 00F11578
  22. 00F11565 |8B聚合币 mov ecx,ebx
  23. 00F11567 |E8 74FEFFFF call 00F113E0


  24. 重载程序

  25. 004DFCDE > E8 02000000 call QQ游戏号.004DFCE5 ////F7 步入
  26. 004DFCE3 DFE8 fucomip st,st
  27. 004DFCE5 871424 xchg dword ptr ss:[esp],edx ; ntdll.KiFastSystemCallRet
  28. 004DFCE8 8D92 12F6FFFF lea edx,dword ptr ds:[edx-0x9EE]
  29. 004DFCEE 871424 xchg dword ptr ss:[esp],edx ; ntdll.KiFastSystemCallRet
  30. 004DFCF1 ^ E9 FFF5FFFF jmp QQ游戏号.004DF2F5 ////F7 步入
  31. 004DFCF6 48 dec eax
  32. 004DFCF7 14 0F adc al,0xF
  33. 004DFCF9 8658 FE xchg byte ptr ds:[eax-0x2],bl
  34. 004DFCFC FFFF ??? ; 未知命令
  35. 004DFCFE ^ E9 64F9FFFF jmp QQ游戏号.004DF667
  36. 004DFD03 3A5A 01 cmp bl,byte ptr ds:[edx+0x1]
  37. 004DFD06 ^ E9 16FAFFFF jmp QQ游戏号.004DF721

  38. 来到这里

  39. 004DF2F5 60 pushad
  40. 004DF2F6 E9 FD050000 jmp QQ游戏号.004DF8F8 ////F8单步到这里 ESP定律一下
  41. 004DF2FB C6 ??? ; 未知命令
  42. 004DF2FC C9 leave
  43. 004DF2FD ^ EB E6 jmp short QQ游戏号.004DF2E5


  44. 还是来到注册框的地方

  45. 00F11555 /74 21 je short 00F11578 ////让这个JE跳过 F9运行
  46. 00F11557 |8B聚合币 mov ecx,ebx
  47. 00F11559 |E8 F2EFFFFF call 00F10550
  48. 00F1155E |3D 2C230000 cmp eax,0x232C


  49. 来到这里

  50. 00F1F04D E8 02000000 call 00F1F054 ////F7 步入
  51. 00F1F052 BD C4870424 mov ebp,0x240487C4
  52. 00F1F057 8D80 59C9FFFF lea eax,dword ptr ds:[eax-0x36A7]
  53. 00F1F05D 870424 xchg dword ptr ss:[esp],eax
  54. 00F1F060 C3 retn //// F7 步入
  55. 00F1F061 98 cwde
  56. 00F1F062 F7 ??? ; 未知命令
  57. 00F1F063 ^ 0F85 B1CCFFFF jnz 00F1BD1A



  58. 来到这里

  59. 00F1B9AB C3 retn ////F7 步入
  60. 00F1B9AC ^ E9 08EDFFFF jmp 00F1A6B9
  61. 00F1B9B1 F6C1 F8 test cl,0xF8
  62. 00F1B9B4 E8 01000000 call 00F1B9BA
  63. 00F1B9B9 D7 xlat byte ptr ds:[ebx+al]


  64. 来到OEP

  65. 00401584 68 987F4700 push QQ游戏号.00477F98
  66. 00401589 E8 EEFFFFFF call QQ游戏号.0040157C
  67. 0040158E 0000 add byte ptr ds:[eax],al
  68. 00401590 0000 add byte ptr ds:[eax],al
  69. 00401592 0000 add byte ptr ds:[eax],al
  70. 00401594 3000 xor byte ptr ds:[eax],al
  71. 00401596 0000 add byte ptr ds:[eax],al

  72. 用LordPE 脱壳好后 接下来 最重要的部分 修复
  73. 发现lmport REC 获取的指针全都是无效的
  74. 我们来修复
  75. 打开工具 ZPFixer.exe /////这里补充一下 这个工具中的 Patch VA跟Zero VA 查找方法 跟随 IATend 00001188 -- ptr 004DE1D4 中的 004DE1D4

  76. 来到这里
  77. 00EF283C 60 pushad
  78. 00EF283D FF7424 20 push dword ptr ss:[esp+0x20] ; KERNEL32.7C839AB0
  79. 00EF2841 E8 DCF8FFFF call 00EF2122
  80. 00EF2846 61 popad
  81. 00EF2847 C3 retn ////这个RETN 就是我们要的PATCH VA
  82. 00EF2848 E9 419C0200 jmp 00F1C48E




  83. 进程ID可以用LOrdpe 查看 也可以用OD附加查看


  84. 假如

  85. 开始为 RVA:00001000 PTR:004DE21C
  86. 结束为 RVA:00001088 PTR:004DE1D4
  87. CODE Start 是REC获取IAI中RVA的起始位置
  88. CODE END 是REC获取IAI中RVA的结束位置


  89. 00401576 /FF25 C0104000 jmp dword ptr ds:[0x4010C0] ; QQ游戏号.004DE0E4 ///这里回车
  90. 0040157C |FF25 34114000 jmp dword ptr ds:[0x401134] ; QQ游戏号.004DE444
  91. 00401582 |0000 add byte ptr ds:[eax],al
  92. 00401584 |68 987F4700 push QQ游戏号.00477F98 ////这里是段首 往上拉一下
  93. 00401589 |E8 EEFFFFFF call QQ游戏号.0040157C
  94. 0040158E |0000 add byte ptr ds:[eax],al
  95. 00401590 |0000 add byte ptr ds:[eax],al

  96. 来到这

  97. 004DE0E4 68 E0BE8A94 push 0x948ABEE0
  98. 004DE0E9 E9 8A020000 jmp QQ游戏号.004DE378 ////回车
  99. 004DE0EE 49 dec ecx
  100. 004DE0EF 56 push esi




  101. 来到这
  102. 004DE378 - E9 BF44A100 jmp 00EF283C ////回车
  103. 004DE37D 0000 add byte ptr ds:[eax],al
  104. 004DE37F 0000 add byte ptr ds:[eax],al
  105. 004DE381 0000 add byte ptr ds:[eax],al
  106. 004DE383 0068 36 add byte ptr ds:[eax+0x36],ch




  107. 来到这里
  108. 00EF283C 60 pushad
  109. 00EF283D FF7424 20 push dword ptr ss:[esp+0x20] ; KERNEL32.7C839AB0
  110. 00EF2841 E8 DCF8FFFF call 00EF2122
  111. 00EF2846 61 popad
  112. 00EF2847 C3 retn ////取这个地址 00EF2847作为patchVA
  113. 00EF2848 E9 419C0200 jmp 00F1C48E




  114. 00EF283C 60 pushad
  115. 00EF283D FF7424 20 push dword ptr ss:[esp+0x20] ; KERNEL32.7C839AB0
  116. 00EF2841 E8 DCF8FFFF call 00EF2122 ////这个call 回车进去 取 Zero VA
  117. 00EF2846 61 popad
  118. 00EF2847 C3 retn
  119. 00EF2848 E9 419C0200 jmp 00F1C48E



  120. 来到这里

  121. 00EF2127 8078 34 00 cmp byte ptr ds:[eax+0x34],0x0
  122. 00EF212B 74 57 je short 00EF2184
  123. 00EF212D FF15 E810EE00 call dword ptr ds:[0xEE10E8] ; KERNEL32.GetTickCount
  124. 00EF2133 8BC8 mov ecx,eax
  125. 00EF2135 2B0D 1065EF00 sub ecx,dword ptr ds:[0xEF6510]
  126. 00EF213B 81F9 88130000 cmp ecx,0x1388
  127. 00EF2141 76 41 jbe short 00EF2184
  128. 00EF2143 FF35 1465EF00 push dword ptr ds:[0xEF6514]
  129. 00EF2149 A3 1065EF00 mov dword ptr ds:[0xEF6510],eax
  130. 00EF214E FF15 5810EE00 call dword ptr ds:[0xEE1058] ; KERNEL32.ResumeThread
  131. 00EF2154 833D 9C6CEF00 0>cmp dword ptr ds:[0xEF6C9C],0x3 ////取括号里的 EF6C9C
  132. 00EF215B 7C 08 jl short 00EF2165
  133. 00EF215D 6A 00 push 0x0
  134. 00EF215F FF15 EC10EE00 call dword ptr ds:[0xEE10EC] ; KERNEL32.ExitProcess



  135. 用ZPFixer工具得到这个了地址 4E40000



  136. Ctrl+G 跟随表达式


  137. 来到这里


  138. 04E40000 BE 00104000 mov esi,0x401000 ////右键此处新建EIP
  139. 04E40005 BF 88114000 mov edi,0x401188
  140. 04E4000A B9 4728EF00 mov ecx,0xEF2847
  141. 04E4000F 83C1 05 add ecx,0x5
  142. 04E40012 83C7 04 add edi,0x4



  143. 04E40045 33C0 xor eax,eax ////这里F2下断 此时注意吧 除了跳过注册窗口的JE和刚才F2的那个 其他的断点全部删掉 F9运行到这里 这时 我们用REC 显示一下无效函数 变成全部有效了 修复转存一下

复制代码

PEID 查下壳

Microsoft Visual Basic 5.0 / 6.0

打开程序 就直接没有注册框了   


视频教程下载地址:
游客,如果您要查看本帖隐藏内容请回复



本资源由聚合VIP资源网,www.juhevip.cn搜集提供。
回复

使用道具 举报

11

主题

0

听众

459

积分

中级会员

Rank: 3Rank: 3

该用户从未签到

发表于 2014-11-25 23:59:10 |显示全部楼层
对于ZP还是放手吧
回复

使用道具 举报

15

主题

0

听众

446

积分

中级会员

Rank: 3Rank: 3

该用户从未签到

发表于 2014-11-26 00:01:12 |显示全部楼层


大牛 怎么了!
回复

使用道具 举报

17

主题

0

听众

631

积分

高级会员

Rank: 4

该用户从未签到

发表于 2014-11-26 00:07:37 |显示全部楼层
膜拜会脱ZP的大神!
回复

使用道具 举报

23

主题

0

听众

552

积分

高级会员

Rank: 4

该用户从未签到

发表于 2014-11-26 00:07:48 |显示全部楼层
无效百度地址,请修正。
回复

使用道具 举报

15

主题

0

听众

487

积分

中级会员

Rank: 3Rank: 3

该用户从未签到

发表于 2014-11-26 00:07:49 |显示全部楼层
学习了 连接无效呢
回复

使用道具 举报

17

主题

0

听众

513

积分

高级会员

Rank: 4

该用户从未签到

发表于 2014-11-26 00:08:25 |显示全部楼层
谢谢楼主,学习了。
回复

使用道具 举报

14

主题

0

听众

440

积分

中级会员

Rank: 3Rank: 3

该用户从未签到

发表于 2014-11-26 00:11:52 |显示全部楼层


http://pan.baidu.com/share/link?shareid=133857650&uk=2818759640   不好意思
回复

使用道具 举报

6

主题

0

听众

156

积分

注册会员

Rank: 2

该用户从未签到

发表于 2014-11-26 00:27:02 |显示全部楼层


大牛就别嘲笑我了
回复

使用道具 举报

14

主题

0

听众

767

积分

高级会员

Rank: 4

该用户从未签到

发表于 2014-11-26 00:27:35 |显示全部楼层


http://pan.baidu.com/share/link?shareid=133857650&uk=2818759640 不好意思
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

回帖奖励

[详情]

  • * 每天自己主题被回复3次可获得额外2金钱奖励。
  • * 每天回复他人主题5次可获得额外3贡献的奖励。
  • * 奖励每天都可领取,一定要多参与论坛讨论哦。
  • * 同一主题的重复回复不计。
  • 手机版|Archiver|聚合Vip网络社区 ( 鲁ICP备14030129号-2 )Discuz超级管家   

    GMT+8, 2018-5-24 00:50 , Processed in 0.245886 second(s), 57 queries .

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc. Template by A3cn

    回顶部