【xtrap】不正プロテクトの回避や解析方法2【npro】
fake作った人です
>183
>EHSvc.dll を解析したいが、これがThemidaで圧縮されてる。
>Webで引っ張ってきた情報を元にunpackしてみるも、起動できないdllしか出来ずに手詰まり。
>ダミーのEHSvc.dllを作ろうにも元を解析できないとなぁ……
アンパックせずとも、Olly付属のloaddllを使用してロードすれば、ollyからエクスポートたたけるのでそこから解析するのが良いかと
後述するloaddll単機起動によるdllロード実行→ollyでアタッチという手順を踏めば、themida展開時のデバッガチェックに引っかからないため、ollyでの解析が容易になります
また、Themida展開+DllMainしか実行されないため、HSサービスが無い状態で解析することが出来ます
この手法を使って、各種エクスポートを順番に解析(ゲーム蔵起動時に#10実行なら、#10から解析)すれば、後は根気よく行けば再現できます
loaddllを単機起動させてdllロードさせる方法
c:\ollydbg\loaddll.exe を使うとして、コマンドプロンプトから
"c:\ollydbg\loaddll.exe" [target dll]
というコマンドを実行
「"」(ダブルクオート)を必ずつけないと、dll name missingで終了するので注意
>183
>EHSvc.dll を解析したいが、これがThemidaで圧縮されてる。
>Webで引っ張ってきた情報を元にunpackしてみるも、起動できないdllしか出来ずに手詰まり。
>ダミーのEHSvc.dllを作ろうにも元を解析できないとなぁ……
アンパックせずとも、Olly付属のloaddllを使用してロードすれば、ollyからエクスポートたたけるのでそこから解析するのが良いかと
後述するloaddll単機起動によるdllロード実行→ollyでアタッチという手順を踏めば、themida展開時のデバッガチェックに引っかからないため、ollyでの解析が容易になります
また、Themida展開+DllMainしか実行されないため、HSサービスが無い状態で解析することが出来ます
この手法を使って、各種エクスポートを順番に解析(ゲーム蔵起動時に#10実行なら、#10から解析)すれば、後は根気よく行けば再現できます
loaddllを単機起動させてdllロードさせる方法
c:\ollydbg\loaddll.exe を使うとして、コマンドプロンプトから
"c:\ollydbg\loaddll.exe" [target dll]
というコマンドを実行
「"」(ダブルクオート)を必ずつけないと、dll name missingで終了するので注意
|
|
|