ZProtect加壳程序脱壳重点笔记.docx

ZProtect 加壳程序脱壳笔记 之前写了一种 ZPIAT 加密方式分析，这里连续接着前面文章，写一种 ZProtect 加壳程序完整脱壳笔记。目的程序是一种用 ZP 二次加密程序，或许是某位大侠作品，小弟这里只是顺手拿来做个演示，有什么冒犯之处，敬请见谅。 目的程序在附件中。 运营一下程序，程序提示只能运营三次，每次只能运营格外钟，看来这个是要先干掉这个对话框再说了~ 写个 lpk hook DialogBoxIndirectParam 这个 api 然后返回 232C 即可。膜拜一下 卡卡大大强大代码。 把这个 lpk 放在软件名目下就没有注册框了。当前可以OD 载入了~ 1，到 OEP 去 上次我分析里面说了，如何最快到达 OEP 方式 就是用ESP 定律。过了 pushad 后来，下 Hr ESP 然后就到了。 查找 FF25 觉察壳没有解决IAT 调用代码，只是对 IAT 进展了加密，看来这个应当是 1.4.0-1.4.4 之间某个版本。 2，修复 IAT 通过查找 FF25 很简洁拟定IAT 位置。 1. 1. 005A3190店铺珍宝2. 005A3194店铺珍宝3. 005A3198 00641B10 店铺珍宝.00641B10 4. 005A319C 00E30000 5. 005A31A0 00E3000E 6. 005A31A4店铺珍宝7. 005A31A8 006411E0 店铺珍宝.006411E0 复制代码 复制代码 下面是一某些 IAT，可以看出 IAT 解决方式有两种。修复时候也要分两种状况进展修复。依照我上篇分析文章结论，两种加密方式最终是殊途同归： push 提取码 调用猎取函数序号 call 依据隐蔽 IAT 基址+序号方式来寻址。 下面看看两种不同方式提取码和 call 调用方式。 方式一 00406A54 - FF25 64325A00 jmp dword ptr ds:[5A3264] ds:[005A3264]=00E30142 1. 1. 00E30142 50 push eax 2. 00E30143 60 pushad 3. 00E30144 68 7695B4AD push ADB49576 4. 00E30149 E8 310DE7FF call 00CA0E7F 00CA0E7F A1 7448CA00 mov eax,dword ptr ds:[CA4874] 00CA0E84 8078 0C 00 cmp byte ptr ds:[eax+C],0 00CA0E88 74 57 je short 00CA0EE1 00CA0E8A FF15 2810C900 call dword ptr ds:[C91028] ；kernel32.GetTickCount 00CA0E90 8BC8 mov ecx,eax 00CA0E92 2B0D 4046CA00 sub ecx,dword ptr ds:[CA4640] 11. 00CA0E98 81F9cmp ecx,1388 00CA0E9E 76 41 jbe short 00CA0EE1 00CA0EA0 FF35 4446CA00 push dword ptr ds:[CA4644] 00CA0EA6 A3 4046CA00 mov dword ptr ds:[CA4640],eax 00CA0EAB FF15 5810C900 call dword ptr ds:[C91058] ；kernel32.ResumeThread 00CA0EB1 833D 944ECA00 0cmp dword ptr ds:[CA4E94],3 00CA0EB8 7C 08 jl short 00CA0EC2 00CA0EBA 6A 00 push 0 00CA0EBC FF15 1C10C900 call dword ptr ds:[C9101C] ；kernel32.ExitProcess 00CA0EC2 803D B848CA00 0cmp byte ptr ds:[CA48B8],0 00CA0EC9 74 08 je short 00CA0ED3 00CA0ECB FF05 944ECA00 inc dword ptr ds:[CA4E94] 00CA0ED1 EB 07 jmp short 00CA0EDA 00CA0ED3 8325 944ECA00 0and dword ptr ds:[CA4E94],0 00CA0EDA C605 B848CA00 0mov byte p