轩辕春秋文化论坛 - Powered by Discuz! Board

标题: 求高手帮忙修改一个文件 [打印本页]

作者: 追月流星 时间: 2007-3-18 13:44 标题: 求高手帮忙修改一个文件

大家知道过去的LoginP.exe,可以直接用UltraEdit来编辑修改，实现同时开启多个网三，但是自从智冠将LoginP.exe打包以后，这种办法不再能使用了，所以我们要想办法对他进行脱壳。

（所谓的exe打包，就是将exe文件用打包工具进行压缩，使得打包后的exe文件能够在运行时先将内容进行自动解包再运行解包后的程序体，这个过程是自动完成的，所以运行起来和未打包时没有区别，通常这样做是为了减小exe文件的体积以及保护其中内容）

还是先请出我们的UltraEdit,用16进制编辑方式，打开LoginP.exe,在大约第30行的地方，我们可以看见有UPX0和UPX1的字样，这就是明显的用UPX工具打包的特征。下面要做的就是去下载一个UPX工具：点此下载>>

这是个带有图形界面的upx工具，不过他的图形界面只能打包，不能解包。下载完解压后，先将LoginP.exe文件做个备份，以备不测，在dos方式运行 upx -d LoginP.exe(LoginP.exe的路径要对），发现upx居然说这不是UPX打包的程序？？？应该很自然的想到可能还加了保护（目前比较常用的UPX保护工具有UPXPR、UPX-SCRAMBLER和UPXGUI整合的那个保护工具），那就继续分析吧，回到UltraEdit里，将LoginP文件象下翻页，在偏移为344h的地方，发现了问题，这里本来应该是upx的版本等文本信息，现在却成了乱码，一定是这里的问题，怎么解决？找一个用upx打包的程序将其中的这段信息copy到LoginP的相同位置上试试，正好这个upx.exe本身就是用upx打包的，将它用UltraEdit打开，将从偏移344h-3e3的内容copy,再paste到LoginP.exe的相同位置上，注意位置一定不要搞错了，保存，再用upx -d LoginP.exe的命令，结果解包成功。但是试着一运行LoginP，发现程序马上报错，估计是解压参数还不对，本人经测试后得到以下结果：
upx -d --compress-exports=0 --compress-icons=0 --strip-relocs=0 --compress-resources=0 loginp.exe
用这条命令就可以正常解压LoginP.exe了，解压后的程序能正常运行。

现在再用UltraEdit打开LoginP.exe试试，Search ’TCW-NETGAME’,哈哈，马上找到了，是不是，把第一个T改成小写t,又能运行多个网三了！

解压后的LoginP.exe居然有近2M大！经过分析发现智冠已经在其中加入了上次有新闻提到过的语音聊天和视频聊天的功能，不知是何原因尚未开放，正是这些导致LoginP体积爆涨。

在下不会使用UE，烦请高手帮个忙

附件: [LoginP] loginP.rar (2007-3-18 13:44, 632.5 K) / 该附件被下载次数 160
http://xycq.org.cn/forum/attachment.php?aid=36655

作者: 追月流星 时间: 2007-3-19 12:23

有没有好心人来帮下我啊？？？

欢迎光临轩辕春秋文化论坛 (http://xycq.org.cn/forum/)