少壮不努力，这回我真是有心无力了...关于SODC_0006汉化

q412894922

昨日休息，闲来无事逛逛论坛，发现很多童鞋想要SODC_0006这个软件的汉化版本，等别人来汉化是不可能的...心想要不我自己来试试？

http://bbs.3dmgame.com/thread-4123277-1-1.html  ←SODC_0006  

于是我便抱着求学的心态去学学看怎样汉化EXE，虽说现在在搞的是室内设计，身边做程序的朋友都没几个，但想起以前在学校也算是接触过一下C#，感觉应该问题不大把。


于是斗志满满地开干了，问下度娘才知道要用这个eXeScope这个软件才能编辑，但是用这个软件打开之后发现里面的东西完全不能进行编辑，如图↓：



于是又去度娘了才知道这软件有可能加了壳，以前有听过这个东西，但是根本没有接触过。于是就看看怎么脱壳，要脱壳先查壳，于是又弄了一个PEiD的查壳软件，一查之下发现是UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay]，通过OD的判断确实是加过壳的，如图↓：





然后我就对症下药，找了一大堆的UPX脱壳软件，什么静态的，动态的。失望的是一个能用的都没有。脱壳之后就成这样了，如图↓：




不断的失败让我感觉自动化的东西是多么的不靠谱，我就想这壳子会不会是传说中的变形壳，然后我就找了一些手动脱壳的方法，下载了ollydbg（简称:OD)进行脱壳。软件加壳就是隐藏了OEP（或者用了假的OEP），手动脱壳就是要找到真正的OEP（程序入口点）然后进行脱壳。首先就是喜闻乐见深受好评的ESP定律，如图（F8单步运行 第一个变化的 ESP 值 然后跟随数据进行硬件断点）↓：




如图（断点之后F9运行 来到变化后的数值 按一下F8 貌似就是OEP了←我也不知道是不是）↓：



用DUMP看了下修正的OEP地址：8F8143 ，如图：



最后用lordpe进行纠正镜像大小---然后将程序完全脱壳
再用输入表重建程序，在OEP处输入8F8143---自动查找IAT---获取输入表----最后修复转存文件载入刚才的完全脱壳的程序
最后转存的文件应该就是脱壳后的文件了，这里就不上图了。
心怀希望地准备打开之后，“噔“地一声，打开错误，心里千万只草泥马奔腾而过，什么玩意嘛！？


当然我也不是那么容易放弃的人，屡败屡战嘛~  
于是后面还用了什么单步跟踪啊，跟踪出口啊，内存跟踪啊来找，最终还是以失败告终。因为我对OEB所在的构架一点都不了解，用单步的时候经常跳一下都不知道循环跳到哪里去了，什么时候到了OEB心里一点概念都木有，0基础的来脱这一个壳还是太勉强了么？
在下也是第一次接触这种破解的东西，昨天一晚上都耗这上面了，真心没辙~ 发现自己懂的太少了。
还是希望站内有好心的高手能脱掉的话站内PM我，上面有软件地址。可以的话还希望能指点一二，呵呵~~  
其实还有很多方法，打算下班再试试，不说了，准备上班去也~