送注册宝最后一程 -- CJ壳抽取代码脚本还原

_BaZzi · 发表于 2017-3-11 17:58:04

送注册宝最后一程 -- CJ壳抽取代码脚本还原
-- _BaZzi

CJ壳的原理是抽取代码正常登录后调用解密未登录或登录的软件编号不是加壳时设置的则崩溃
登录成功后CJ壳会在调用时把真正的代码放到堆(Heap)中用异常来跳入和跳出被抽取的代码
用到的异常处理是VEH 可以在VEH段尾下端从CONTEXT中获取将要执行的代码地址
剩下具体看脚本 CJ_Rebuilder.osc

由于被抽取代码是登录后执行前解密所以脚本的时机也要找好
例子中登录后就需要执行被抽取的代码所以最好的时机是在登录刚完成

脚本执行完成后会生成 CJ_Dump_XXXXXX_XXX.bin 第一个XXX是被抽取代码的原始地址第二个XXX是大小
接下来编写补丁登录后补回被抽取的代码

例子是免注册模块写的补丁如果失效了尝试自己手动把DLL注册一下
模块修改自QqWsFpY的COMHOOK