如何脱壳:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
来源:互联网 发布:照片设计软件 编辑:程序博客网 时间:2024/05/17 08:37
我是个初学者,第一次写破文,有错误之处,请大虾们指出,谢谢!
从www.cpzj.zj.com 下载完QQsee,解压后发现只有一个主程序qqsee.exe
用PEid查了一下:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
试过了很多脱壳工具,包括有名的Procdump,脱不掉.郁闷 T_T(看来还要学学脱壳)。没办法,不能来硬的~~换个方法吧~~
用Filemon 监视了一下,发现软件读取同一目录下的几个文件,看了一下,却找不到,于是就试试把隐藏文件显示出来,
看到有个QQsee.uzy的文件,好,找到蛛丝马迹了。用记事本打开,大发现!
(乱码)This program cannot be run in DOS mode.
程序不能在DOS下运行
很熟悉吧?下面还有
text data rsrc MSVBVM60.DLL
把后缀改成exe,哈~~运行正常~~~~用PEID查:Microsoft Visual Basic 5.0 / 6.0(其实不用查也知道了)这下好了,
连壳也不用脱了~奇怪的是这个程序只有280K,原程序是2.67M,而且这个小程序能独立运行,功能也没少。加壳还把程序
加大了?真不明白~~~作者还真逗嘛!
既然是VB写的,那就用SmartCheck好了,启动SmartCheck,载入,运行,切换到注册,
邮箱: 260256505@163.com
注册码:12345 67890 12345 67890
提示“错误的注册码!”
切换到SmartCheck的窗口,找到最后的“_Click”展开,看到前几个字符串都是邮箱名。一直
往下找,发现程序逐一取字符去计算,拖到最下面的时候发现了一个字符串很可疑
635231531940091377616
数了数,21位,不管了,试试再说!输入前20位,点注册按扭,下面赫然写着几个大字:
你已成功注册!
好了,破解到此就告一段落了。整理一下:
260256505@163.com
63523 15319 40091 37761
注册信息保存在c:/windows/system32/qqlogin.exe,把它改成qqlogin.txt就一目了然了
用 WinHex 试试 ,发现也能找到正确的注册码,试了几个后面都多一个“6”,好象是没用的。
这里就不详细说了。累了 :-)
从www.cpzj.zj.com 下载完QQsee,解压后发现只有一个主程序qqsee.exe
用PEid查了一下:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
试过了很多脱壳工具,包括有名的Procdump,脱不掉.郁闷 T_T(看来还要学学脱壳)。没办法,不能来硬的~~换个方法吧~~
用Filemon 监视了一下,发现软件读取同一目录下的几个文件,看了一下,却找不到,于是就试试把隐藏文件显示出来,
看到有个QQsee.uzy的文件,好,找到蛛丝马迹了。用记事本打开,大发现!
(乱码)This program cannot be run in DOS mode.
程序不能在DOS下运行
很熟悉吧?下面还有
text data rsrc MSVBVM60.DLL
把后缀改成exe,哈~~运行正常~~~~用PEID查:Microsoft Visual Basic 5.0 / 6.0(其实不用查也知道了)这下好了,
连壳也不用脱了~奇怪的是这个程序只有280K,原程序是2.67M,而且这个小程序能独立运行,功能也没少。加壳还把程序
加大了?真不明白~~~作者还真逗嘛!
既然是VB写的,那就用SmartCheck好了,启动SmartCheck,载入,运行,切换到注册,
邮箱: 260256505@163.com
注册码:12345 67890 12345 67890
提示“错误的注册码!”
切换到SmartCheck的窗口,找到最后的“_Click”展开,看到前几个字符串都是邮箱名。一直
往下找,发现程序逐一取字符去计算,拖到最下面的时候发现了一个字符串很可疑
635231531940091377616
数了数,21位,不管了,试试再说!输入前20位,点注册按扭,下面赫然写着几个大字:
你已成功注册!
好了,破解到此就告一段落了。整理一下:
260256505@163.com
63523 15319 40091 37761
注册信息保存在c:/windows/system32/qqlogin.exe,把它改成qqlogin.txt就一目了然了
用 WinHex 试试 ,发现也能找到正确的注册码,试了几个后面都多一个“6”,好象是没用的。
这里就不详细说了。累了 :-)
- 如何脱壳:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
- 手动脱壳----PECompact 2.x -> Jeremy Collake
- 脱 PECompact 2.x -> Jeremy Collake 壳
- 手脫 -- PECompact 2.x -> Jeremy Collake
- PECompact 2.5脱壳
- 脱壳-PECompact v1.66
- 脱壳-PeCompact(2.20)
- 手动脱壳之PECompact
- 简析脱 PEBundle 2.0x - 2.4x-> Jeremy Collake
- 脱《唐诗三百首1.2》壳(PEBundle 0.2 - 3.x -> Jeremy Collake)并提取MID数据
- 对PECompact加壳的DLL脱壳的一点分析
- 壳学习一:PECompact 2.x 加壳脱壳
- yoda 1.0x Protector和PECompact 2.x双层壳脱壳笔记
- 【转】脱壳中的附加数据问题(overlay)
- ASPack 2.x (without poly) -> Alexey Solodovnikov [Overlay] 手动脱壳
- 姚明评Jeremy
- Overlay
- .overlay
- 工作余思
- oracle的存储过程返回记录集
- JavaScript中Array 对象相关的几个方法
- Eclipse及其插件介绍和下载 (2)
- Ajax 和 XML: 借鉴最优秀的 Ajax 应用程序
- 如何脱壳:PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
- .net开源项目
- 套接字相关知识
- sql 查询经典语句
- javascript 常见错误(失误足迹)
- Oracle Date类型与SQLT_DAT分析
- linux远程登录遇到的问题
- Eclipse及其插件介绍和下载 (3)
- Linux下使用VirtualBox安装并配置Windows服务器