|
|
|
[原创]这里允许发老王的脱壳脚本么?
9.10的壳我一般都是手脱,别人发的脱壳教本不好用。 |
|
[原创]这里允许发老王的脱壳脚本么?
//code by skylly //encryptPE 2004.8.10,2005.3.12,2005.3.14, server模式,无sdk,非常的不通用。 msg "忽略所有异常,取消所有断点,隐藏OD" dbh gpa "IsDebuggerPresent", "kernel32.dll" bp $RESULT run msg "如果不是断在isdebuggerpresent,则你可以关闭ollydbg了,脚本不适用" bc $RESULT bphws 711E4524,"x" run bphwc 711E4524 var x mov x, [ebp-28] msg "从 ss:[ebp-28]处将PE程序dump下来,dump下来的程序可以查出oep,和iat基址和大小,记下来。我不知道怎么用脚本做--会的教我:(--" bphws 711E3731,"x" esto bphwc 711E3731 msg "注意ECX为iat地址,否则脚本有误" sto msg "注意EDX应该是个函数地址,否则脚本有误" bphws 711E3756,"x" esto bphwc 711E3756 asm eip, "jmp 711E37CD" //magic jmp asm 711E4E56,"nop" asm 711E4E57,"nop" bphws 711E4E6B,"x" esto bphwc 711E4E6B msg "用importrec 获取输入表,保存为树文件,仅保留有效的" asm 711E3756, "je 711E37CD" //还原,安全第一,安全第一。 asm 711E4E56,"jnz short 711E4E6B" // //还原,安全第一,安全第一。 go 711E4E74 mov !CF, 1 //自校验,修改一下万无一失 go 711E4E7F mov !CF, 1 //自校验,修改一下万无一失 mov [711E4FEB], #90909090909090909090908B# mov [711E501E], #9090# mov [711E502A], #90909090909090909090908B# mov [711E505C], #9090# mov [711E5134], #668B# mov [711E5146], #668B# mov [711E514F], #909090909090# mov [711E5161], #90909090908B# mov [711E518B], #9090# mov [711E51BB], #9090# mov [711ACE59], #E9EF9F080090# mov [71236E4D], #895C82FC8BC35B66813B90E8750D66C703FF158B55FC895302EB15803B897410803B8B740B66C703FF258B55FC895302C300# bphws 711E51C7,"x" esto bphwc 711E51C7 msg "用loadPE完整dump" |
|
|
|
|
|
linson的eXcalibur V1.03脱壳―eXcalibur.exe 主程序
根据fly的脱文写的脚本,仅对主程序试用成功 msg "忽略所有异常,取消所有断点" msg "code by skylly" dbh bpmc var stop1 var stop2 var stop3 var stop4 var stop5 var stop6 gpa "GetForegroundWindow", "user32.dll" bp $RESULT run bc $RESULT rtu mov stop1,eip add stop1,21 mov [stop1],#6A01# //窗口前置 gpa "VirtualAlloc", "kernel32.dll" bp $RESULT run bc $RESULT rtu mov stop2,eip add stop2,16 go stop2 mov !ZF,1//保住stolen call mov stop3,eip add stop3,E4 go stop3 mov [eip],#9090# //消灭反跟踪 mov stop4,eip add stop4,5D9 mov stop5,eip add stop5,591 bp stop5 run bc stop5 mov [eip],#6189078385E439400004#//保住函数地址 bp stop4 run bc stop4 gpa "VirtualFree", "kernel32.dll" bp $RESULT run bc $RESULT rtu mov stop6,eip add stop6,29 bp stop6 run bc stop6 sto sto sto sto sto sti sto sto sto sti sto sto sto sto sti sto sto sto sto sti sto sto sto sto sto sto sto sto sto sto cmt eip,"oep,full dump!" ret |
|
|
|
|
|
|
|
[求助]ASProtect 2.1x SKE
如果是商业软件的话,给我四位数,我会考虑的, |
|
|
|
[求助]DBPE 2.x -> Ding Boy
有个版本的仙剑查出来也是这个样子,别轻信哦 |
|
|
|
[讨论]我在给一个软件脱壳时看到了一个有趣的东西。
假如我找到4.00.230版本的armadillo,那能不能用它算出正确的key呢? |
|
[讨论]我在给一个软件脱壳时看到了一个有趣的东西。
我没有正确的key,解不了壳~~~~ |
|
[求助]如何加Armadillo 注册壳,比较菜
你在armadillo主界面菜单上可以看到一个"keys"菜单吧,选择下拉菜单中的 create key就可以了。 不同版本的armadillo位置可能不一样。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值