qq伴侣2.41脱壳去效验

龙之子

由于最近碰了很多类似软件，不知道其中哪个打开的网页有病毒，所以暂时不把我机器上的exe上传，也就是说，这个文章里的所有工具都请自己去网上搜索，成品请自己制作。。。
要用到的工具是Peid(可选)，Ollydbg+StrongOD，Imprec，Hex Workshop 6(建议用汉化的)
去软件官网下载，解压后得到一个目录，找到主程序QQ伴侣.exe，用Peid查看是ExeStealth

很弱的壳，OD装备上StrongOD后加载，看到这里：
0050D060 > /EB 65           JMP SHORT QQ伴侣.0050D0C7  //在这里按F8跳转
0050D062   |45              INC EBP
0050D063   |78 65           JS SHORT QQ伴侣.0050D0CA
0050D065   |53              PUSH EBX
0050D066   |74 65           JE SHORT QQ伴侣.0050D0CD
0050D068   |61              POPA
0050D0C7    60              PUSHAD                    //跳到这里，再按一次F8
0050D0C8    E8 00000000     CALL QQ伴侣.0050D0CD      //在CommandLine下断hr esp,再按F9
0050D0CD    5D              POP EBP
0050D0CE    81ED 40284000   SUB EBP,QQ伴侣.00402840
0050D0D4    B9 16000000     MOV ECX,16
0050D0D9    83C1 04         ADD ECX,4
0050D0DC    83C1 01         ADD ECX,1
0050D0DF    EB 05           JMP SHORT QQ伴侣.0050D0E6
0050D0E1  - EB FE           JMP SHORT QQ伴侣.0050D0E1

0050D844    50              PUSH EAX                    //QQ伴侣.0050D7F3，停在这里，
0050D845    33C0            XOR EAX,EAX
0050D847    64:FF30         PUSH DWORD PTR FS:[EAX]
0050D84A    64:8920         MOV DWORD PTR FS:[EAX],ESP
看到右下角窗口，显示的地址是0050D7F3

Ctrl+G，输入0050D7F3，按F2，再F9，程序停在这里，删除断点：

0050D822    5F              POP EDI          //选中这句命令，按F4
执行完后显示EDI=0050A001，我们Ctrl+G过去下断点，然后F9

0050A001    60              PUSHAD          //停在这里，到了第二层壳
0050A002    E8 03000000     CALL QQ伴侣.0050A00A
0050A007  - E9 EB045D45     JMP 45ADA4F7
0050A00C    55              PUSH EBP
0050A00D    C3              RETN
执行到0050A001后，OD脱壳，IMPREC修复，再次用Peid，发现是Aspack，再次用OD载入：
0050A001    60              PUSHAD                  //停在这里，按F8
0050A002    E8 03000000     CALL QQ伴侣.0050A00A    //执行到这里，下断hr esp，然后F9
0050A007  - E9 EB045D45     JMP 45ADA4F7
0050A00C    55              PUSH EBP
0050A00D    C3              RETN
来到这里：
0050A3B0   /75 08           JNZ SHORT QQ伴侣.0050A3BA    //停在这里，F8下去
0050A3B2   |B8 01000000     MOV EAX,1
0050A3B7   |C2 0C00         RETN 0C
0050A3BA   \68 64134000     PUSH QQ伴侣.00401364
0050A3BF    C3              RETN                          //这句过去就到程序领空了

00401364 > $  68 441A4000   PUSH C_.00401A44                 //停在这个地址，脱壳
00401369   .  E8 F0FFFFFF   CALL <JMP.&msvbvm60.ThunRTMain>
0040136E   .  0000          ADD BYTE PTR DS:[EAX],AL
00401370   .  40            INC EAX
00401371   .  0000          ADD BYTE PTR DS:[EAX],AL
00401373   .  0030          ADD BYTE PTR DS:[EAX],DH
00401375   .  0000          ADD BYTE PTR DS:[EAX],AL
00401377   .  0038          ADD BYTE PTR DS:[EAX],BH
00401379   .  0000          ADD BYTE PTR DS:[EAX],AL
0040137B   .  0000          ADD BYTE PTR DS:[EAX],AL
脱壳完毕用Imprec修复(可以直接进到程序领空，一次脱壳)，Peid查一下，是VB，双击跑不起来，有自检。
VB自检一般都是比较自身大小，使用函数rtcFileLen，因此Ctrl+B，输入20 12 40，确定后来到这里：
00403A60     \20124000      DD <JMP.&msvbvm60.rtcFileLen>
在下面找个不用的地方，跳过去，比如00476F00，把这两句话改成这样
00403A60     /006F4700      DD 00476F00     //跳到00476F00

00476F00   .  C3            RETN               //直接回去

然后，程序就可以跑起来了，去广告比较简单却繁琐，Hexworkshop直接搜索字符串2523或者uu23去改(注意有些可能和升级有关)，其中启动广告我一直没出来，不知道为什么。
没有版权，转载自龙族论坛。

mr512

忽忽，么东西。

byy68230206

昏迷 。。

男小师

剧烈混麽

direcy

我有点晕，龙之子的帖子很多啊！

8896

16进制都整出来了     这玩意有点难度了    毕竟会这个东西的人    大多数都不会来开发外挂

hgjx

什么东东嘛，CLF都好使了，弄那些没用的干什么啊？

kittyhot

太深奥了

小包

没几个人会看明白哦

672496818

我要喷了。。。麻烦的

GT39

有什么用呢?!...完全不懂...

kmxrf

我都不是高手啊

蛋羔

那么多，看得头晕

100333

看不懂。。。。。

HBK

我头都大了...