闲着无聊，手脱TTP壳全过程 - 『脱壳破解区』
- 吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|
后使用快捷导航没有帐号？
只需一步，快速开始
请完成以下验证码
请完成以下验证码
查看: 14906|回复: 35
闲着无聊，手脱TTP壳全过程
阅读权限25
本帖最后由 cu629944 于
11:51 编辑
【文章标题】: 闲着无聊，手脱TTP壳
【软件名称】: 加了TTP壳的记事本
【下载地址】: 自己搜索下载
【软件介绍】: OD LORDPE IMPORT REC
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
& &闲着无聊，就给一个记事本加了下TTP的壳，来脱下，如果可能的话，骗个精华走，哇咔咔！呵呵！废话不多说，直接进入主题。
& &PS:参考了下当红小生的视频，然后自己脱了下！
& &先介绍下什么是TTProtect：
& &什么是TTProtect？TTProtect是专为软件开发者设计的保护软件不被非法修改或反编译的专业加密软件。
&&TTProtect是新一代软件保护工具，吸收众多保护工具的优点，并加入了独有的特色功能。
&&TTProtect使用了特别的反跟踪方法，使得对保护对象的非法调试非常困难，并且对保护代码进行全局优化、乱序和混淆，使得非法分析相当困难。
& &TTP这款壳是反硬件执行断点的，所以要用到一个插件，PhantOm这款插件，和SOD一起用，效果还不错哈，直接进入主题了，先跑OEP吧！我是给XP的记事本加的TTP，所以是相当于给C++的软件加了一个壳吧。
& &我们运行程序，暂停，点击按钮“K”，在
暂停.png (4.67 KB, 下载次数: 19)
14:13 上传
& && && & 调用来自006DD40F这里，右键====》显示调用，此时停在WinMain函数上面，如果一个程序很了解的话，就知道在软件的退出的的上面就是WinMain函数，WinMain函数上面就是GetMoudleHandleA函数了。
& &006DD405& & 6A 0A& && && &&&push& & 0A
& &006DD407& & 58& && && && &&&pop& &&&eax
& &006DD408& & 50& && && && &&&push& & eax
& &006DD409& & 56& && && && &&&push& & esi
& &006DD40A& & 53& && && && &&&push& & ebx
& &006DD40B& & 53& && && && &&&push& & ebx
& &006DD40C& & FFD7& && && && &call& & edi& && && && && && && && && && &; GetMoudleHandleA
& &006DD40E& & 50& && && && &&&push& & eax
& &006DD40F& & E8 & &&&call& & ttp.& && && && && && && &; WinMain
& &此时向上面翻，会找到OEP
& &006DD29F& & 016A 70& && && &add& &&&dword ptr [edx+70], ebp
& &006DD2A2& & 68 & &&&push& & 1001898
& &006DD2A7& & E8 BCA29200& &&&call& & ttp.
& &006DD2AC& & 33DB& && && && &xor& &&&ebx, ebx
& &006DD2AE& & 53& && && && &&&push& & ebx
& &006DD2AF& & 8B3D CC100001& &mov& &&&edi, dword ptr [10010CC]
& &006DD2B5& & FFD7& && && && &call& & edi
& &006DD2B7& & 66:A& & cmp& &&&word ptr [eax], 5A4D
& & 006DD29F这里就是OEP了，可是我们知道，记事本的OEP的头一句是PUSH 70，我们可以发现，壳把第一句变形了，我们来给他NOP一字节，就会发现，程序的OEP正常了！
& &006DD2A0& & 6A 70& && && &&&push& & 70
& &006DD2A2& & 68 & &&&push& & 1001898
& &006DD2A7& & E8 BCA29200& &&&call& & ttp.
& &006DD2AC& & 33DB& && && && &xor& &&&ebx, ebx
& &006DD2AE& & 53& && && && &&&push& & ebx
& &006DD2AF& & 8B3D CC100001& &mov& &&&edi, dword ptr [10010CC]
& &006DD2B5& & FFD7& && && && &call& & edi
& &006DD2B7& & 66:A& & cmp& &&&word ptr [eax], 5A4D
& &如果我们细心的看下，就会发现，记事本的OEP的地址应该是在0100739D，而加了TTP壳的记事本的OEP地址是006DD2A0，我们点击“M”，发现006DD2A0在壳段，就像是把代码抽到壳段执行了！
&&我们CTRL+G转到0100739D来看下，会发现一堆空代码，所以我们DUMP程序之前，需要将壳代码中的OEP复制到0100739D这里，否则程序是不会运行的。我们复制下整个OEP的二进制代码！
& &6A 70 68 98 18 00 01 E8 BC A2 92 00 33 DB 53 8B 3D CC 10 00 01 FF D7 66 81 38 4D 5A 75 1F 8B 48
& &3C 03 C8 81 39 50 45 00 00 75 12 0F B7 41 18 3D 0B 01 00 00 74 1F 3D 0B 02 00 00 74 05 89 5D E4
& &EB 27 83 B9 84 00 00 00 0E 76 F2 33 C0 39 99 F8 00 00 00 EB 0E 83 79 74 0E 76 E2 33 C0 39 99 E8
& &00 00 00 0F 95 C0 89 45 E4 89 5D FC 6A 02 FF 15 38 13 00 01 59 83 0D 9C AB 00 01 FF 83 0D A0 AB
& &00 01 FF FF 15 34 13 00 01 8B 0D B8 9A 00 01 89 08 FF 15 30 13 00 01 8B 0D B4 9A 00 01 89 08 A1
& &2C 13 00 01 8B 00 A3 A4 AB 00 01 E8 A4 A2 92 00 39 1D 08 96 00 01 75 0C 68 F4 75 00 01 FF 15 28
& &13 00 01 59 E8 74 A2 92 00 68 10 90 00 01 68 0C 90 00 01 E8 5A A2 92 00 A1 B0 9A 00 01 89 45 DC
& &8D 45 DC 50 FF 35 AC 9A 00 01 8D 45 D4 50 8D 45 D0 50 8D 45 CC 50 FF 15 20 13 00 01 89 45 C8 68
& &08 90 00 01 68 00 90 00 01 E8 24 A2 92 00 83 C4 24 A1 1C 13 00 01 8B 30 89 75 E0 80 3E 22 75 3A
& &46 89 75 E0 8A 06 3A C3 74 04 3C 22 75 F2 80 3E 22 75 04 46 89 75 E0 8A 06 3A C3 74 04 3C 20 76
& &F2 89 5D AC 8D 45 80 50 FF 15 D0 10 00 01 F6 45 AC 01 74 11 0F B7 45 B0 EB 0E 80 3E 20 76 D8 46
& &89 75 E0 EB F5 6A 0A 58 50 56 53 53 FF D7 50 E8 22 55 92 00 8B F0 89 75 C4 39 5D E4 75 07 56 FF
& &15 18 13 00 01 FF 15 00 13 00 01 EB 2D 8B 45 EC 8B 08 8B 09 89 4D D8 50 51 E8 88 A1 92 00 59 59
& &C3 8B 65 E8 8B 75 D8 83 7D E4 00 75 07 56 FF 15 F0 12 00 01 FF 15 F4 12 00 01 83 4D FC FF 8B C6
& &E8 3E A1 92 00 C3
& &复制下来后，我们来找IAT，我们在006DD2AF& & 8B3D CC100001& &mov& &&&edi, dword ptr [10010CC]，右键====》数据窗口中跟随=====》内存地址，发现大部分的IAT都被加密了，只有少数部分没有被加密，所以我们来找下Magic JUMP，来跳过IAT加密！
& &我们重新载入，在VirtualProtect函数下的RETN处下断点，并把数据窗口转到10010CC处，然后F9运行，观察数据窗口，大概6次左右吧，会发现数据窗口中的IAT都出现了，再按一次会发现IAT都被加密了，这就是我们的返回时机，ALT+F9返回，然后F8单步走，发现走过 10007A7F后，IAT被加密了！
& &10007A66& & 33F6& && && && &xor& &&&esi, esi
& &10007A68& & 8D4C24 14& && & lea& &&&ecx, dword ptr [esp+14]
& &10007A6C& & 51& && && && &&&push& & ecx
& &10007A6D& & 8D8C24 8C010000 lea& &&&ecx, dword ptr [esp+18C]
& &10007A74& & E8 D49BFFFF& &&&call& & 1000164D
& &10007A79& & 8B15 D10A0210& &mov& &&&edx, dword ptr [10020AD1]& && &&&; ttp.
& &10007A7F& & 52& && && && &&&push& & edx
& &10007A80& & E8 C8DFFFFF& &&&call& & 10005A4D& && && && &&&//IAT被加密了
& &10007A85& & 6A 01& && && &&&push& & 1
& &10007A87& & FF15 E10A0210& &call& & dword ptr [10020AE1]& && && && & ; ttp.
& &我们再次重新载入，再次来到 10007A80处，在数据窗口0100108C处下硬件写入断点====》byte断点！然后F9运行！
& &0100108C&&7C8097B8&&kernel32.7C8097B8
& &C80932E&&ASCII &LL.VerSetConditionMask&
& &C80A4B7&&kernel32.7C80A4B7
& &C80A864&&kernel32.7C80A864
& &0100109C&&7C809FA0&&kernel32.7C809FA0
& &&&7C83378D&&kernel32.7C83378D
& &&&7C833FEB&&kernel32.7C833FEB
& &&&7C80FFA9&&kernel32.7C80FFA9
& &010010AC&&7C80FF12&&kernel32.7C80FF12
& &&&7C810CFD&&kernel32.7C810CFD
& &&&7C809420&&kernel32.7C809420
& &&&7C8017E9&&kernel32.GetSystemTimeAsFileTime
& &010010BC&&7C801E1A&&kernel32.TerminateProcess
& &断在了这里
& &10006C36& & 897C24 18& && & mov& &&&dword ptr [esp+18], edi
& &10006C3A& & 8B4424 18& && & mov& &&&eax, dword ptr [esp+18]
& &10006C3E& & 8945 00& && && &mov& &&&dword ptr [ebp], eax& && &；开始加密了！
& &10006C41& & 8B4424 24& && & mov& &&&eax, dword ptr [esp+24]& && && & ; 断在这里
& &10006C45& & 8B78 04& && && &mov& &&&edi, dword ptr [eax+4]
& &我们向上面翻，找能跳过这个加密的跳转：
& &10006AAF& &/74 19& && && &&&je& && &short 10006ACA
& &10006AB1& &|3D 4DE75D66& &&&cmp& &&&eax, 665DE74D
& &10006AB6& &|74 12& && && &&&je& && &short 10006ACA
& &10006AB8& &|3D 5FF05127& &&&cmp& &&&eax, 2751F05F
& &10006ABD& &|74 0B& && && &&&je& && &short 10006ACA
& &10006ABF& &|3D 59F04E75& &&&cmp& &&&eax, 754EF059
& &10006AC4& &|0F85 & &jnz& &&&10006C3A& && && && && && && && &&&；Magic Jump
& &10006ACA& &\68 F4010000& &&&push& & 1F4
& &10006ACF& & E8 F93D0000& &&&call& & 1000A8CD
& &发现10006AC4这个跳转可以跳过我们的IAT加密，所以10006AC4是我们要找的MAGIC JUMP，找到后，我们再次重新载入，删除硬件写入断点，再次来到10007A80，然后我们F7单步进入，寻找到我们的Magic Jump，将三个JE给NOP掉，将JNZ给改成JMP，此时在VirtualProtect函数下的RETN处下断点不要取消，再次F9，我们发现所有的IAT都恢复了，我们ALT+F9返回后，我们直接搜索JMP EAX，发现提示错误
提示错误.png (23.78 KB, 下载次数: 8)
14:14 上传
& &怎么解决呢？我用的是最简单的方法，点击M，来到写有SFX的区段，我们右键设置访问====》全部访问，就可以了，我们再次搜索，发现我们找到了！我们在JMP EAX处下F2断点，然后F9断下后，F7跟进，此时到达了我们的OEP，这些代码都是没有加密的，我们现在的任务就是来到0100739D处，将我们复制的二进制代码拷贝过去，拷贝好以后，我们在0100739D这里新建EIP，然后打开LORDPE来DUMP程序，这个壳有ANTI DUMP，我们把VirtualProtect的页面属性给改成可读可写和可执行就可以了，呵呵，我在这里就不说了！DUMP好以后，IMPORT REC进行修复，修复成功后，运行，可以正常运行，此时我们的就完成了。
--------------------------------------------------------------------------------
【经验总结】
&&闲着无聊来脱的一个壳，侥幸被我搞定了，呵呵！
--------------------------------------------------------------------------------
【版权声明】: 本文原创于nisycc, 转载请注明作者并保持文章的完整, 谢谢!
& && && && && && && && && && && && && && && && && && & 日 14:12:08
吾爱币 +16
我擦，写的真好。
感谢您的分析,[吾爱破解]有你更精彩！
来给笨笨加分了。
我很赞同！
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限30
沙发是我的。。。支持你个小美女~
话说楼主是男人。。。&
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
支持笨笨。。。
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
過來搶個位子，順便膜拜下
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限25
学习了··谢谢楼主哈···
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限25
希望楼主用插图说明一下“把VirtualProtect的页面属性给改成可读可写和可执行”，如何操作？
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
楼主的脱文不错，受教了。
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
难得看到搞TTP的
TTP公关做这么好还是有人去调戏它啦
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限30
呵呵 支持你一下哈&&你给弄成视频多爽啊
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
是呀，有个视频教程，就更爽了。
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
免责声明：吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。
( 京ICP备号 | 京公网安备 87号 )
Powered by Discuz!
Comsenz Inc.刚刚闲着无聊，跑到日本直播平台发弹幕
小编本来是想在聊天网站练习英语口语之类的东西，却跑到了niconico，点进去了一个正在直播游戏的房间。红圈区域就是主播看到的实时弹幕，这个房间也没有太多人，不然你发什么都会被淹没……当前有600人正在观看，实时一共发了246条弹幕。小编并不懂日语，不过之前有去过一个日本随机聊天网站，说自己是一个澳大利亚的学生，正在做论题，问他们对于中国人的看法、以及对中国文化的理解等等……那么回到直播中，主播讲了半天，好像很嗨的样子，然而小编只听懂了“求都嘛得”，就发了几句不着边际的英语，但是没人理我。不久之后，便觉得无聊，准备离开，就发了句中文：至于为什么是繁体……日语中有很多繁体字，之前无聊把他们打过的汉字都挑出来打了一遍。这句中文在屏幕上出现后，主播先是惊叫了一声，接着说什么就听不懂了，但是后面的评论就开始google了：在他们google中文的时候，我也在google他们……但这个意思……之后，就没有任何关于这个话题的评论了。而我在那里等了半天……因为要是谁发了个“支那語”这类的词的话……老朽今儿晚上就不睡了！！不过话说回来，小编说话语气和蔼，不是表达尊重他们，而是身为中国人，不能在他们面前丢脸！
从LOL起始到现在的S6，LOL中出现了许多的装备，也被无情的移除了许多的装备，比如杀人剑啊，自然之力啊等等，但是呢...
&来源：八点电竞
说了这么多事情，不就是想拿个蓝，给你不就行了，干吗这么转折。现在人机很厉害了吗?为什么会这样子，小学生们伤不起。
&来源：英雄时刻大看点
你知道现在版本中的哪一件装备是大多数ADC的首选吗？没错，就是卢安娜的飓风。作为游戏后期最重要的火力输出，ADC所要承担的职责非常重大...
&来源：小学僧
作为瓦洛兰大陆的召唤师，自然都不会对段位这两个字感到陌生，那么，提到段位，我们究竟会想到的是什么东西。
&来源：儿童劫
PAWN将军将在四分之一决赛担任首发在即将到来的四分之一决赛里，EDG首发中单将为PAWN将军，在整个夏季赛中...
&来源：玩加赛事
有些时候可能碰到一些发育的比较好的AD英雄，在团战中输出高的爆炸，这时就需要正义的刺客站出来教育他做一波人...
&来源：疯狂游戏迷
距离小苍停播也有近两个月了，相信有不少小伙伴等着在电脑上再次看到苍姐打撸的样子。之前和斗鱼的合约到期了，要谈合约确实还是要点时间的...
&来源：鱼玩游戏
作者：半心月殇意外的变成了深渊Apc，娱乐向开心的玩起来吧！先二觉抓起来这只白旺旺再来一个一绝还不死我还会猛龙断空斩我要...
&来源：多玩DNF专区
1.姜子牙在放大过程中可以使用闪现来改变大招的方向，也就是所谓的无形装逼最致命，看不到光线的大招2.芈月，二技能转身的那一会是无敌的...
&来源：叫我大神哥哥
在日常匹配排位中，秒选亚索以成为常态 ( ?o?o? ) ，那么也就是说在匹配过程中对面的同志选择亚索的几率非常大...
&来源：黄小豆
玩在LOL刚开局的时候，很多玩家都习惯性的打一把1级团。在装备相同的情况下，最考验的就是技术。
&来源：LOL君
亚索：亚索有E跟旋风的存在，足以回头反打，还有一个能挡住所有伤害的风墙，追可以，一定要看清楚他的被动是否攒满，如果攒足，放弃吧。
&来源：电竞佛跳墙【图片】无意间看到这部电影【精灵王座吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：11,493贴子：
无意间看到这部电影收藏
闲着无聊搜动漫电影比大圣归来大鱼海棠强多了，剧情很不错，风景细节处理的很好，我现在手机壳都是定制的图片，如果有第三部出了立马去电影院看#(pic,,400,600)#(pic,,600,338)
萌骑士终于觉醒啦!更酷炫的技能,更强大的攻击,快快上线创建属于你的小姐姐!宴会厅&狩猎日唤醒战斗本能,装备二阶实现能力提升,贝勒尼卡新商品缔造古典异域风.
键盘是王座
第三部不存在的
求精灵王座资源
登录百度帐号推荐应用求捉妖记 大圣归来 煎饼侠的ed2k 下载链接 最后10分请笑纳！_百度知道
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
求捉妖记 大圣归来 煎饼侠的ed2k 下载链接 最后10分请笑纳！
我有更好的答案
//pan./s/1gdfHdvH" target="_blank">/s/1gdfHdvH 密码：lhnx
大圣归来链接： 密码：5aip
扼子花开链接：/s/1o6yzCt8 密码：mmis
捉妖记链接://pan.baidu：故事情节的绝对无聊低龄化使整部电影变成彻头彻底的儿童动画片，只能靠无厘头去遮盖内容的空白。在基本故事都无法完整呈现给观众的时候，导演还试图去探讨人性善恶的哲学问题。面对这个欠缺工整的剧本。在这个庞大的故事里面，毫无逻辑可言
你去下载个葫芦侠
能不扯淡吗？
不是的，葫芦侠是一款可以免费下载付费电影和破解游戏的一个软件
你想看的电影葫芦侠里都有
都是高清的
没有ios系统得把？
没有啊，都可以看啊
什么手机的系统都可以看
我去哪里下载？
我有个YY播放器，
有抢版要吗？
谢谢 想看稍微清晰一点的
麻烦你做任务 无聊 去别的行不行
大半夜的不睡觉 捣什么乱啊
其他3条回答
为您推荐：
其他类似问题
慈溪的相关知识
换一换
回答问题，赢新手礼包}