【标 题】:脱掉QSound Qmp3D V1.0的vbox壳
【关键字】:vb,3D,mp3,V1,Sound,QSound,Qmp3D,V1,vbox
【来 源】:网络
Program : QSound Qmp3D Version 1.0
Type : a multi-function audio enhancement plug-in for the Winamp MP3 player
OS : only for Win9x/2K
Protection : Vbox 4.3 Preview
Homepage : http://www.qsound.com/
Download :
Cracked by : zombieys[CCG]
Release type : full unpacked
Release date : Jul 22,2002
Release name : cr-dsp_qsnd.dll (430,080 bytes)
Release Download : http://8287.my.west163.com/cr-dsp_qsnd.rar
第一次接触dll文件脱壳,极其不适应,花了2整天搞定。要感谢ljttt老大的指点了,大脱神呀^^
1.找oep
首先执行icedump,运行winamp,加载dsp插件qsound,弹出vbox对话框,下bpx getprocaddress,按f5。点continued后被中断,按一下f12来到这里
01A7:0700BB36 PUSH DWORD PTR [EBP-20]
01A7:0700BB39 CALL [KERNEL32!GetProcAddress]
01A7:0700BB3F MOV EDI,EAX
01A7:0700BB41 CMP EDI,EBX
01A7:0700BB43 JZ 0700BCE6
01A7:0700BB49 MOV ESI,[ESI+16]
01A7:0700BB4C ADD ESI,[EBP+08]
01A7:0700BB4F CMP [EBP-24],EBX
01A7:0700BB52 JZ 0700BB89 -〉jmp 700bb89
上面代码用来控制是否破坏it表,所以必须要他跳过去。
省略跟踪过成,原因是不记得怎么找到oep的了:(
当来到
01A7:7007f57 SETZ CL
01A7:7007f5A TEST EAX,EAX
01A7:7007f5C MOV [EBP+08],ECX
01A7:7007f5F JNZ 7007F71
01A7:7007f61 PUSH DWORD PTR [EBP+14]
01A7:7007f64 PUSH DWORD PTR [EBP+10]
01A7:7007f67 PUSH DWORD PTR [EBP+0C]
01A7:7007f6A CALL EAX ->按f8进去就是程序的入口了
01A7:7007f6C MOV [ESI+18],EAX
01A7:7007f6F JMP 7007E75
Entry Point:15480
2.dump程序,提取it表
在入口处下a,jmp eip,用lordpe来dump dsp_qsnd.dll进程(用prodump会死掉的),dump出来的大约有568kb。运行ImportREC,oep填15480,找到it表后保存。
3.修复程序(最麻烦最花时间的工作)
用peditor删掉除Preview以外的所有sections,用winhex删除相应的数据只剩下大约416kb,再用ImportREC添加一个it表。重新给dll文件分配sections并修改Directory table中的Export table,Import table,Rescoures,Basereloce,Import address table为正确的值,修改Base of data以及Size of image为正确的值,把image base修改成对应的值(一开始不知道要改这个,花了我好长时间, 笨呐)。
4.测试正常运行for Win9x/2K,not for Winme(程序比较老)
ok到此为止
2002.7.22
zombieys[CCG]/[iPB]
【关键字】:vb,3D,mp3,V1,Sound,QSound,Qmp3D,V1,vbox
【来 源】:网络
脱掉QSound Qmp3D V1.0的vbox壳
Type : a multi-function audio enhancement plug-in for the Winamp MP3 player
OS : only for Win9x/2K
Protection : Vbox 4.3 Preview
Homepage : http://www.qsound.com/
Download :
Cracked by : zombieys[CCG]
Release type : full unpacked
Release date : Jul 22,2002
Release name : cr-dsp_qsnd.dll (430,080 bytes)
Release Download : http://8287.my.west163.com/cr-dsp_qsnd.rar
第一次接触dll文件脱壳,极其不适应,花了2整天搞定。要感谢ljttt老大的指点了,大脱神呀^^
1.找oep
首先执行icedump,运行winamp,加载dsp插件qsound,弹出vbox对话框,下bpx getprocaddress,按f5。点continued后被中断,按一下f12来到这里
01A7:0700BB36 PUSH DWORD PTR [EBP-20]
01A7:0700BB39 CALL [KERNEL32!GetProcAddress]
01A7:0700BB3F MOV EDI,EAX
01A7:0700BB41 CMP EDI,EBX
01A7:0700BB43 JZ 0700BCE6
01A7:0700BB49 MOV ESI,[ESI+16]
01A7:0700BB4C ADD ESI,[EBP+08]
01A7:0700BB4F CMP [EBP-24],EBX
01A7:0700BB52 JZ 0700BB89 -〉jmp 700bb89
上面代码用来控制是否破坏it表,所以必须要他跳过去。
省略跟踪过成,原因是不记得怎么找到oep的了:(
当来到
01A7:7007f57 SETZ CL
01A7:7007f5A TEST EAX,EAX
01A7:7007f5C MOV [EBP+08],ECX
01A7:7007f5F JNZ 7007F71
01A7:7007f61 PUSH DWORD PTR [EBP+14]
01A7:7007f64 PUSH DWORD PTR [EBP+10]
01A7:7007f67 PUSH DWORD PTR [EBP+0C]
01A7:7007f6A CALL EAX ->按f8进去就是程序的入口了
01A7:7007f6C MOV [ESI+18],EAX
01A7:7007f6F JMP 7007E75
Entry Point:15480
2.dump程序,提取it表
在入口处下a,jmp eip,用lordpe来dump dsp_qsnd.dll进程(用prodump会死掉的),dump出来的大约有568kb。运行ImportREC,oep填15480,找到it表后保存。
3.修复程序(最麻烦最花时间的工作)
用peditor删掉除Preview以外的所有sections,用winhex删除相应的数据只剩下大约416kb,再用ImportREC添加一个it表。重新给dll文件分配sections并修改Directory table中的Export table,Import table,Rescoures,Basereloce,Import address table为正确的值,修改Base of data以及Size of image为正确的值,把image base修改成对应的值(一开始不知道要改这个,花了我好长时间, 笨呐)。
4.测试正常运行for Win9x/2K,not for Winme(程序比较老)
ok到此为止
2002.7.22
zombieys[CCG]/[iPB]
【相关文章】
被加壳vb5/6程序的OEP定位经验
脱Insta3D version 2.0(Vbox420)的壳
对PECompact.exe v1.34的手动脱壳(1)
对PECompact.exe v1.34的手动脱壳(2)
VBox 4.1脱壳
FlashFXP v1.4.1 build 823 的脱壳与破解(1)
FlashFXP v1.4.1 build 823 的脱壳与破解(2)
FlashFXP v1.4.1 build 823 的脱壳与破解(3)
幻影v1.5b破解应注意的地方
bjfnt v1.3脱壳手记
【随机文章】
HTML标记
red hat linux 7.31下 informix安装攻略
新来的mac
GCC for Win32开发环境介绍(1)
我喜欢的仓木麻衣
编写Wu-ftp漏洞扫描器
在打印HTML页面时控制分页
过滤ASP.NET输出HTML中的无用空格
矢量图形开发中的动态注记实现
齐达内世界杯顶人事件被利用 黑客借此传恶意病毒
【相关评论】
没有相关评论
【发表评论】
|