|
|
|
|
|
[下载]HuuuuuuExeCryptor
00401060 55 PUSH EBP ; kernel32.7C800000 00401061 8BEC MOV EBP,ESP 00401063 6A FF PUSH -1 00401065 68 A8404000 PUSH HuuuuuuE.004040A8 0040106A 68 941B4000 PUSH HuuuuuuE.00401B94 0040106F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 00401075 50 PUSH EAX 00401076 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0040107D 83EC 58 SUB ESP,58 00401080 53 PUSH EBX 00401081 56 PUSH ESI 00401082 57 PUSH EDI 00401083 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 00401086 FF15 1C404000 CALL NEAR DWORD PTR DS:[40401C] ; kernel32.GetVersion 0040108C 33D2 XOR EDX,EDX 0040108E 8AD4 MOV DL,AH |
|
一个正常的文件,为何不能反编呢!
upack的壳,有错误提示没关系,照样脱壳 |
|
|
|
|
|
[讨论]unpackme
最初由 aki 发布 我的也是,怎么回事? 说明OD的反汇编功能有漏洞,在跳4f7014前 00763375 55 PUSH EBP 00763376 FF53 04 CALL NEAR DWORD PTR DS:[EBX+4] 00763379 AB STOS DWORD PTR ES:[EDI] 0076337A ^ EB E4 JMP SHORT unpackme.00763360 0076337C AD LODS DWORD PTR DS:[ESI] 0076337D 50 PUSH EAX 0076337E 55 PUSH EBP 0076337F FF53 04 CALL NEAR DWORD PTR DS:[EBX+4] 00763382 AB STOS DWORD PTR ES:[EDI] 00763383 ^ EB E0 JMP SHORT unpackme.00763365 00763385 C3 RETN //停在这里 在数据窗口修改4f7035的值为0f(其他值也可以,总之要改),就能正常看到4f7014处的代码了: 004F7014 B8 00000000 MOV EAX,0 004F7019 60 PUSHAD 004F701A 0BC0 OR EAX,EAX 004F701C 74 68 JE SHORT unpackme.004F7086 004F701E E8 00000000 CALL unpackme.004F7023 004F7023 58 POP EAX 004F7024 05 53000000 ADD EAX,53 004F7029 8038 E9 CMP BYTE PTR DS:[EAX],0E9 004F702C 75 13 JNZ SHORT unpackme.004F7041 004F702E 61 POPAD 004F702F EB 45 JMP SHORT unpackme.004F7076 004F7031 DB2D 37700F00 FLD TBYTE PTR DS:[F7037] //这个指令有问题 004F7037 FFFF ??? ; Unknown command 004F7039 FFFF ??? ; Unknown command 004F703B FFFF ??? ; Unknown command 004F703D FFFF ??? ; Unknown command 在4f7014处dump下来一看,真是themida~~~~~,我不玩了. |
|
[求助]如何搞定此软件的自校验?
我只是菜鸟一个 UPX的壳你会脱吧? 脱完的程序取名1.exe, 再用peid的overlay插件将未脱壳程序的附加数据导出,取名1.ovr 在命令行下执行命令: copy 1.exe/b + 2.ovr/b 得到的1.exe程序就可以正常运行了 |
|
|
|
[讨论]unpackme
themida? |
|
OD得SFX跟踪功能太强了~
一些常见壳都可以用SFX来脱,而且一般准确率都比较高 |
|
MEW 11 SE 1.2 -> NorthFox/HCC请教有无脱壳脚本[已解决]
那就可能不是这个壳,可能是伪装的 |
|
MEW 11 SE 1.2 -> NorthFox/HCC请教有无脱壳脚本[已解决]
下面是fly的脚本 ////////////////////////////////////////////////// // FileName : MEW 11 V1.0-V1.2.osc // Comment : MEW 11 V1.0-V1.2 OEP Find // Environment : WinXP SP2,OllyDbg V1.10,OllyScript V0.92 // Author : fly // WebSite : http://www.unpack.cn // Date : 2005-10-03 20:30 ////////////////////////////////////////////////// #log MSGYN "Plz Clear All BreakPoints And Set Debugging Option Ignore All Excepions Options !" cmp $RESULT, 0 je TryAgain //GameStart―――――――――――――――――――――――――――――――― sti find eip, #C30000# cmp $RESULT, 0 je NoFind eob Break bp $RESULT log $RESULT esto GoOn: esto Break: cmp eip,$RESULT jne GoOn bc $RESULT sto //GameOver―――――――――――――――――――――――――――――――― log eip cmt eip, "This is the OEP! Found By: fly" MSG "Just : OEP ! Dump and Fix IAT. Good Luck " ret NoFind: MSG "Error! Maybe It's not MEW 11 V1.0-V1.2 ! " ret TryAgain: MSG " Please Try Again ! " ret |
|
测试你的od乖不乖[10月24日更新]
它怎么知道我作弊了呢? |
|
测试你的od乖不乖[10月24日更新]
关键代码都VM化了,我看到有个CreateToolHelp32SnapShot就没兴趣往下看了 |
|
晕,我没见过这个壳子!!!帮忙.
壳名叫dePACK 以下是fly的脱壳脚本 ////////////////////////////////////////////////// // FileName : dePACK V1.0.oSc // Comment : OEP Find For dePACK V1.0 // Environment : WinXP SP2,OllyDbg V1.10,OllyScript V0.92 // Author : fly // WebSite : http://www.unpack.cn // Date : 2006-10-09 20:30 ////////////////////////////////////////////////// #log MSGYN "Plz Clear All BreakPoints + Set Events Make first pause at Entry Point ! " cmp $RESULT, 0 je TryAgain //GameStart______________________________________ /* 0040D026 61 popad 0040D027 B8 CC104000 mov eax,4010CC 0040D02C FFE0 jmp eax */ find eip, #61B8????????FFE0# cmp $RESULT, 0 je NoFind eob Break add $RESULT,6 bp $RESULT esto GoOn0: esto Break: cmp eip,$RESULT jne GoOn0 bc $RESULT esti //GameOver______________________________________ log eip cmt eip, "This is the OEP! Found By : fly " MSG "Just : OEP ! Plz Dump and Fix IAT . Good Luck " ret NoFind: MSG "Error! Don't find. " ret TryAgain: MSG " Plz Try Again ! " ret |
|
[求助]SVKP 1.3x -> Pavol Cerven脱壳问题
251097CC是ExitProcess的哈希(hash)值 2D66B1C5是GetCommandLineA的哈希(hash)值 等等 svkp的壳要对这些特殊函数加密都是用形如 cmp dword ptr ds:[ebx],251097CC //比较当前处理的函数是不是ExitProcess 这样的固定的代码来判断当前处理的函数是不是要进行加密的,如果是则跳到加密的代码部分 所以你只要是脱svk的壳都可以找这个特征码 至于特征码是怎么找到的,当然是前辈们慢慢跟踪,总结出来的规律, 不可能不实践就能猜到特征码的. |
|
Aspr 2.3 Anti如何解决?
估计楼主的插件太多,改了内存中关键地方,让壳给发现了 |
|
[求助]SVKP 1.3x -> Pavol Cerven脱壳问题
别人都说了几千几万遍了,你还死钻这个牛角尖 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值