|
[求助]请教 cxlrb 一个关于 FSG 脱壳区段重组的问题
慢慢分析一下,就是汇编,只不过这个程序有点怪,找不到这个函数GetModuleHandleA ,无从修复成像以上形式。 昨天看了看WinUpack 3.9 statick unpacker v0.2.exe这个程序的入口,他是汇编写得,说到底OEP中语句作用是一样的,比较如下: 00400640 > 33DB xor ebx, ebx 00400642 53 push ebx 00400643 |. E8 EC110000 call <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA 00400648 |. A3 80184000 mov dword ptr [401880], eax 0040064D 53 push ebx 0040064E 68 68114000 push 00401168 00400653 |. 53 push ebx ; |hOwner 00400654 |. 68 38024000 push 00400238 ; |pTemplate = "DIALOG" 00400659 |. FF35 80184000 push dword ptr [401880] ; |hInst = NULL 0040065F |. E8 40110000 call <jmp.&user32.DialogBoxParamA> ; \DialogBoxParamA 00400664 |. 50 push eax ; /ExitCode 00400665 \. E8 C4110000 call <jmp.&kernel32.ExitProcess> ; \ExitProcess 上面这段入口代码,peid是无法识别的,我们将以上这段改成下面这段,peid便可识别为汇编语言,记得修改OEP值: 0040063F >/$ 6A 00 push 0 ; /pModule = NULL 00400641 |. E8 EE110000 call <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA 00400646 |. A3 80184000 mov dword ptr [401880], eax 0040064B |. 6A 00 push 0 ; /lParam = NULL 0040064D |. 68 68114000 push 00401168 ; |DlgProc = 999.00401168 00400652 |. 6A 00 push 0 ; |hOwner = NULL 00400654 |. 68 38024000 push 00400238 ; |pTemplate = "DIALOG" 00400659 |. FF35 80184000 push dword ptr [401880] ; |hInst = NULL 0040065F |. E8 40110000 call <jmp.&user32.DialogBoxParamA> ; \DialogBoxParamA 00400664 |. 50 push eax ; /ExitCode 00400665 \. E8 C4110000 call <jmp.&kernel32.ExitProcess> ; \ExitProcess 那么我们直接给peid添加签名就可以了,因为这个变形入口是编译器直接编译出来的,而非认为变形,所以我们增加以下签名到peid签名库: [MASM / TASM -> * Sign By CxLrb] signature = 33 DB 53 E8 ?? ?? 00 00 A3 ?? ?? 40 00 53 68 ?? ?? 40 00 53 68 ?? ?? 40 00 FF 35 ?? ?? 40 00 E8 ?? ?? 00 00 50 E8 ?? ?? 00 00 ep_only = true 再用peid扫描看看。 |
|
[分享]网站的共享
http://download.softobzor.net/win/5/0/0 http://www.hellspawn.nm.ru/tools/tools.html http://www.team-x.ru/news/news.php http://void.gulli.com/ TPE 补丁工具 http://arteam.accessroot.com/tools.html http://www.openrce.org/articles/ http://www.secretashell.com/codomain/peid/ http://www.reaonline.net/forum/index.php? http://syd.nightmail.ru/stripper.dhtml http://www.chemax.ru/tools3.php |
|
[分享]网站的共享
[QUOTE=;]...[/QUOTE] http://cracklab.ru/download.php (打不开,右键编码选择希伯来文) 坛主,应该是——西里尔文Windows 吧 |
|
[求助]请教 cxlrb 一个关于 FSG 脱壳区段重组的问题
汇编入口点是这样的: 1. 00401000 > 6A 00 push 0 00401002 E8 5D910000 call <jmp.&kernel32.GetModuleHandleA> 00401007 A3 68B44000 mov dword ptr [40B468], eax 0040100C E8 8D930000 call <jmp.&comctl32.InitCommonControls> 00401011 E8 A5190000 call 004029BB 00401016 6A 04 push 4 00401018 E8 5D930000 call <jmp.&gdi32.GetStockObject> 0040101D A3 01F74100 mov dword ptr [41F701], eax 00401022 68 DA3C4000 push 00403CDA 00401027 E8 26910000 call <jmp.&kernel32.SetUnhandledExceptionFilter> 0040102C 68 58020000 push 258 00401031 68 07074200 push 00420707 2. 00401AB1 >/$ 6A 00 push 0 ; /pModule = NULL 00401AB3 |. E8 56130000 call <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA 00401AB8 |. A3 561A4000 mov dword ptr [401A56], eax 00401ABD |. 6A 00 push 0 ; /lParam = NULL 00401ABF |. 68 421B4000 push 00401B42 ; |DlgProc = PECompac.00401B42 00401AC4 |. 6A 00 push 0 ; |hOwner = NULL 00401AC6 |. 68 58194000 push 00401958 ; |pTemplate = PECompac.00401958 00401ACB |. FF35 561A4000 push dword ptr [401A56] ; |hInst = NULL 00401AD1 |. E8 DE120000 call <jmp.&user32.DialogBoxIndirectPa>; \DialogBoxIndirectParamA 00401AD6 |. 6A 00 push 0 ; /ExitCode = 0 00401AD8 \. E8 2B130000 call <jmp.&kernel32.ExitProcess> ; \ExitProcess |
|
[求助]请教 cxlrb 一个关于 FSG 脱壳区段重组的问题
我这个脱壳程序的rva从5000到8000可以再分一个区段,自己琢磨一下。 |
|
[求助]请教 cxlrb 一个关于 FSG 脱壳区段重组的问题
调整区段对齐粒度为1000,然后用16进制查看,如果在1000的倍数开始的地址处开始有新的数据,就从那里开始新的区段,注意计算好映像大小。 这里有个优化好的,你可以看看: 下载 |
|
[公告]看雪论坛对于所涉及到目标软件的管理2007.10.15
作为社会人,就得遵循社会制度办事。 |
|
[转帖]OllyDbg 2.0 Pre-alpha version 面世了
没注意置顶帖,发重了,就当个bug报告贴吧,载入了之前有一个脱壳了的文件,crash。 OLLYDBG EXCEPTION PROTOCOL This file is created by OllyDbg due to unrecoverable error. It contains data necessary to locate and remove this and previous errors. Please describe circumstances that preceded exception: > > > > and email protocol to: Ollydbg@t-online.de Feel free to remove any private data. Thank you very much for your help! Operating system: 5.1.2600, platform 2 (Service Pack 2) OllyDbg version: 2.00.0 Exception code: C0000005 Parameters: 00000000 00007000 Exception address: 00477AC3 EAX=7FFFFFFF EBX=00000073 ECX=00000000 EDX=00007000 ESP=00129AC4 EBP=00129FF0 ESI=00490F07 EDI=00000020 EIP=00477AC3 EFL=00210206 Code dump: 00477A83 FF 45 C0 83 C2 02 85 C0 0F 84 01 01 00 00 66 83 00477A93 3A 00 75 EB E9 F6 00 00 00 83 7D F8 00 7C 05 8B 00477AA3 45 F8 EB 05 B8 FF FF FF 7F 8B 55 E8 33 C9 89 4D 00477AB3 C0 EB 05 48 FF 45 C0 42 85 C0 0F 84 CF 00 00 00 00477AC3> 80 3A 00 75 EE E9 C5 00 00 00 F7 C7 00 01 00 00 00477AD3 B8 08 00 00 00 75 03 83 C0 FE 8B D7 50 80 E2 01 00477AE3 8D 8D 49 FF FF FF 52 53 89 4D E8 51 83 7D F8 00 00477AF3 7D 07 B8 06 00 00 00 EB 03 8B 45 F8 50 8B 55 1C 00477B03 52 E8 2F 2E 00 00 83 C4 18 8B CF 81 E1 00 01 00 00477B13 00 51 8B 45 1C 50 E8 20 2E 00 00 83 C4 08 89 45 Stack dump: 00129AC4 045F0000 0012D20C 00000000 6F432020 .._..?..... Co 00129AD4 73206564 20657A69 68206E69 65646165 de size in heade 00129AE4 73692072 30303020 30303630 65202C30 r is 00006000, e 00129AF4 6E657478 20646564 73206F74 20657A69 xtended to size 00129B04 7320666F 69746365 00206E6F 00860084 of section .?? 00129B14 00129F28 00000000 00000002 0000003F (?.........?... 00129B24 004770A0 0012A018 0000003F 00000000 爌G..?.?....... 00129B34 00000000 00000000 00000003 00129C8C ............寽.. 00129B44 00000000 01000000 00129C08 43129F72 .........?.r?C 00129B54 00000000 00000000 00129FAC 7C930945 ........瑹..E.搢 00129B64 7C93094E 000006C4 00129AE0 00129E8C N.搢?..鄽..尀.. 00129B74 00129E20 7C92EE18 00129EB4 00000008 ?..顠|礊...... 00129B84 00129E30 7C93402E 0014C900 00129C08 0?..@搢.?..?. 00129B94 7C930970 7C99E4C0 7C9340EF 7C9340BB p.搢冷檤顯搢籃搢 00129BA4 00000000 00129F28 0012A178 00000002 ....(?.x?..... 00129BB4 00000046 00000000 00129EB8 00000000 F.......笧...... 00129BC4 000A0008 7C933E88 0000021A 00000000 ....?搢........ 00129BD4 00129BB4 00000018 0012A188 00000084 礇......垺..?.. 00129BE4 00000000 FFFFFFFF 7C936DE5 00860084 ........錷搢?? 00129BF4 00129F28 00129C08 00000002 0014C8F8 (?..?....... 00129C04 010000C8 003A0043 0044005C 0063006F ?..C.:.\.D.o.c. 00129C14 006D0075 006E0065 00730074 00610020 u.m.e.n.t.s. .a. 00129C24 0064006E 00530020 00740065 00690074 n.d. .S.e.t.t.i. 00129C34 0067006E 005C0073 0069004D 00680063 n.g.s.\A.d.m. 00129C44 00650061 005C006C 9762684C 0033005C i.n.\.Lhb梊.3. 00129C54 00620032 00740069 00430020 006C0061 2.b.i.t. .C.a.l. 00129C64 00750063 0061006C 006F0074 00200072 c.u.l.a.t.o.r. . 00129C74 006E0055 00610070 006B0063 00640065 U.n.p.a.c.k.e.d. 00129C84 0065002E 00650078 00000000 00000000 ..e.x.e......... 00129C94 00000000 00000000 00000000 00000000 ................ 00129CA4 00000000 00000000 00000000 00000000 ................ 00129CB4 00000000 00000000 00000000 00000000 ................ [Settings] Check DLL versions=0 已发送给作者。 |
|
[分享]Thinstall 3.0 SDK
感谢分享,你编译这个监视器可以用了。 |
|
|
|
[求助]请问这个壳怎么脱(已经试了很久了)
试试脱壳机 ACKiller_0.31_pre-release,这里脱得非常干净。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值