装x法则之手脱Telock0.98与校验三宝对抗

本教程由学逆向Thx赞助播出（“哎呀我摔倒了要你们评分Thx给我才能起来”）

悬赏帖：https://www.52hb.com/thread-30694-1-1.html

逆向前言：真的半个月都在混,,,od都没动过,,嗨呀今天给大家补上一些很装x的小方法，这个悬赏帖有大腿搞定了所以不敢再玩了，就教一些装x大法

逆向正文：
今天，重点教手脱（新思路手脱，不用十大脱壳法），对抗进程名校验，文件校验与删除补丁文件（api hook）

像什么逆向之类的，就免了好吧？其实讲道理这个东西我主要想对抗的是删除补丁，我想了很多很多思路，发现有两个方法比较简单,,
然后等会儿会跟大家说,,先看程序,,一开始讲道理我是没想脱壳的，我以为是很强的壳
先是查壳，peid

然后寻找了一份资料,,是某blog的，我正是借助他这个方法成功到达oep，
如果你认为是我演示他的做法，那你就错了,因为我不擅长脱壳，但是基本的脱壳方法我还是懂的，但是都不记得了
上一次看脱壳视频，大概还是三年前吧，我记得看的是逻辑人生论坛的fywy还是狂刀的，现在那个论坛gg了
我印象比较深的，还是看他的全部脱壳方法，就常用的全部演示了，但是我不记得了,,,

然后我发现有一些帖子用的什么内存镜像法，貌似都不了oep，所以这个最后一次异常法我用过是能到达oep的
其他方法大家自己去试验，然后我这里演示一下我发现的方法，比最后一次异常法快
操作方法：

首先是载入OD，记住不要设置od什么，忽略所有异常（一般都是忽略过的），因为最后一次异常法是要取消忽略异常，我这边是直接忽略所有
如果你用过了这个方法，记得改回去
接着呢，直接F9完全运行起来程序，不要设置任何断点，完全运行看到程序界面即可，

这时候对这个加壳后的oep,也就是我们载入未脱壳的程序的oep，进行两次回车操作，按两下回车
第一次到达这

再按一次就到达了oep

很神奇对吧？我也不知道为什么，就突然发现的,,,
这时候，我们记下这个oep地址为00404240
接着，重新载入这个程序，不要运行了，我们得想办法让他停在这个程序的真实OEP

直接输入OEP地址到达这个OEP，很显然这时候oep还没有被解码，所以是混乱的，但是我们不管，我们直接下内存写入断点

我这边是设置过了一次断点，所以下面有一个删除内存断点，如果没有设置的话是不会有这个选项的
这时候设置完毕以后，直接F9按一次

游客，如果您要查看本帖隐藏内容请回复

前排学习一下经验

Shy的教程不得不说真是越来越骚气了！

学习下，谢谢分享经验！

谢谢了支持下，这个脱壳还是很简单的。没想到然你给写了呵呵。

哈哈，看的有点头晕，你最后那个hook怎么用啊我都忘了。我也是搞了半天才搞定，文件删除暗桩位置我已经找到了，004DDB32      E8 19170000   call PDF2Word.004DF250 直接nop掉，然后搜索初始化失败004E0415 ，把这个jmp掉就不会删除目录下的exe和dll文件了。这软件其实挺好玩的。我也是参照悬赏答案https://www.52hb.com/thread-30706-1-1.html，当然他只是教了一个方法，这个方法确实很棒。我把所有能改的全改了。我现在的补丁，原程序不用脱壳，不会弹出注册窗口，也不会删除文件。显示试用版，随便注册后显示正式版，但是这个只是安慰，即使不注册也可以使用功能。这软件暗桩好多。现在搞不定重启验证这里。注册后显示正版，但是重新打开后还是试用版。希望你能搞定这个地方。这软件绝对有一个关键地方判断注册的地方没找到。所以我的补丁修改了10处。水平太次不行啊。我把补丁文件放上来 PDF2Word 和谐补丁.zip (841.67 KB, 下载次数: 1)

2017-1-4 08:56 上传

点击文件名下载附件

学习了！！感谢楼主的分享

感谢分享，学习一下

大牛的帖子必须要看。哈哈   楼主辛苦了

受益良多 谢谢