|
EmbedPE v1.03 release
最初由 pll823 发布 压缩率还挺高 点击下载:附件!hxq.rar_1089166609.rar |
|
|
|
奇怪的壳求助
有违规嫌疑,观察两天,好自为之。 |
|
有没有脱过老王v2004.06.18的壳?
hook了类似OpenProcess的api.当然找不到 |
|
寻找消失的==》品琳居《===大哥,前辈
那就是老王的东西了 |
|
幻影加壳的软件过期信息如何清除啊?
验证过,都杀了吧 |
|
幻影加壳的软件过期信息如何清除啊?
如果做的DBPE Cleaner,大概就是清理HKEY_CLASSES_ROOT\wrifile\shell\open\command\config\子项目 找奇怪的杀…… |
|
新手求助!脱壳
fly是OCN那个:D forgot超级变态脱法: ctrl+f jmp eax 回车 选它上一行00469FD9 B8 D04A4500 MOV EAX, 00454AD0 ctrl+* f8 f8 dump fix rebuild :D OEP: 00054AD0 ------------- IT : 0005A100 Size:00000614 |
|
寻找消失的==》品琳居《===大哥,前辈
此君名Aming... |
|
新手求助!脱壳
可能是吧.或者程序有附加数据 |
|
EmbedPE v1.03 release
最初由 fly 发布 fly用的可是秦始皇时代开发的:D |
|
EmbedPE v1.03 release
常年在线xxxx:D |
|
EmbedPE v1.03 release
开头一段代码逆向... 我看壳都是一句一句看的 这个花指令实在太多 等有好方法对付它 我就送 cyclotron 老兄一份完整分析来支持一下 ; 保留堆栈上移空间 sub esp ,50h ; 保护现场 pushad ; 变形、折腾 ; …… call __delta __delta: pop ebp sub ebp, offset __delta ; 讨厌add xxx, ebp写法, lea eax, [ebp+xxxxxxxx], 我喜欢, 我like :D ; 计算、存储 ImageBase mov eax, __ldr_code_start add eax, ebp sub eax, [ebp+__ldr_code_base_delta] mov [ebp+@image_base], eax ; 破坏 SEH 链表 ( Endless SEH ) xor eax, eax ; #1 mov edx, offset handler1 add edx, ebp push edx push fs:[eax] mov fs:[eax], esp ; 保存当前 SEH push fs:[eax] ; #2 mov edx, offset handler2 add edx, ebp xor eax, eax ;<- 多余 ; 堆栈上升8字节 sub esp, 8 ; #3 push fs:[eax] mov fs:[eax], esp add esp, 16 ; 下降到 #2 ; #4 push edx push fs:[eax] push fs:[eax], esp ; #5 push edx push fs:[eax] mov fs:[eax], esp lock cmpxchg8b eax ; 异常 |
|
不能动态调式,还有什么办法手动脱壳
你若是能写aspr的unpacker可以不调试:D |
|
EmbedPE v1.03 release
老兄的花指令用到了疯狂的地步呀 解码的seh去花... PUSH EBP 00429EA5 MOV EBP, ESP ; EBP=0012FB84 00429EA7 PUSH EBX ; ESP=0012FB80 00429EA8 PUSH ESI ; ESP=0012FB7C 00429EA9 PUSH EDI ; ESP=0012FB78 00429EB1 MOV ESI, [EBP+8] ; ESI=0012FC6C 00429EDF CMP DWORD PTR [ESI], C000001E 00429F10 JNZ 0042A86D ; 是"合法"异常? 00429F41 MOV ESI, [EBP+10] ; ESI=0012FC80 00429F6D MOV EAX, [ESI+B0] 00429F9E TEST EAX, 80000000 00429FCE JNZ 0042A602 00429FFD MOV EBX, [ESI+B4] ; EBX=00021000 0042A02E PUSH DWORD PTR [ESI+A4] ; ESP=0012FB74 0042A05F PUSH DWORD PTR [EBX+409E42] ; ESP=0012FB70 0042A090 MOV EAX, 00409426 ; EAX=00409426 0042A0BE ADD EAX, EBX ; EAX=0042A426 0042A0EB PUSH EAX ; ESP=0012FB6C 0042A117 PUSH EBP ; ESP=0012FB68 0042A143 MOV EAX, [EBX+40ACE8] ; EAX=77E5B332 0042A1A2 CMP BYTE PTR [EAX], 0CC ; 不是CC吧,怕怕 0042A1D0 JE 0042A426 0042A201 CMP BYTE PTR [EAX+1], 0CC 0042A230 JE 0042A426 0042A25F CMP BYTE PTR [EAX+2], 0CC 0042A28E JE 0042A426 0042A2BD CMP BYTE PTR [EAX+3], 0CC 0042A2EC JE 0042A426 0042A31D CMP BYTE PTR [EAX+4], 0CC 0042A34C JE 0042A426 0042A37B CMP BYTE PTR [EAX+5], 0CC 0042A3AA JE SHORT 0042A426 0042A3D7 JMP EAX ; 去哪里了呢:D 0042A402 MOV EDI, [ESI+B0] 0042A431 SHL EDI, 2 0042A45D ADD EDI, [ESI+10] ; EDI=0012FF84 0042A48B MOV [EDI], EAX 0042A4B8 MOV DWORD PTR [ESI+4], 0 ; 清DR1~DR3,DR0用来干活 0042A4EA MOV DWORD PTR [ESI+8], 0 0042A51A MOV DWORD PTR [ESI+C], 0 0042A54C MOV EDI, [ESI+B8] ; EDI=00422A7C,变化eip的代码 0042A57D XOR DWORD PTR [EDI], 58579F60 0042A7EA MOV EAX, 0 ; EAX=00000000 0042A87A POP EDI ; ESP=0012FB7C, EDI=00000000 0042A87B POP ESI ; ESP=0012FB80, ESI=00000000 0042A87C POP EBX ; EBX=00000000, ESP=0012FB84 0042A87D LEAVE ; ESP=0012FB88, EBP=0012FBA8 0042A87E RETN 10 ; ESP=0012FB9C 我记录了48兆跟踪记录,居然只有40多条(除去开头的poly?)有效 00422003 PUSHAD ; ESP=0012FF54 0042200A CALL 0042200F ; ESP=0012FF50 0042200F POP EBP ; ESP=0012FF54, EBP=0042200F 00422019 SUB EBP, 0040100F ; EBP=00021000 00422048 MOV EAX, 00401000 ; EAX=00401000 00422078 ADD EAX, EBP ; EAX=00422000 004220A5 SUB EAX, [EBP+409E2E] ; EAX=00400000 004220D6 MOV [EBP+409E3A], EAX 00422105 XOR EAX, EAX ; EAX=00000000 00422130 MOV EDX, 00408EA4 ; EDX=00408EA4 00422160 ADD EDX, EBP ; EDX=00429EA4 0042218D PUSH EDX ; ESP=0012FF50 004221B9 PUSH DWORD PTR FS:[EAX] ; ESP=0012FF4C 004221E7 MOV FS:[EAX], ESP 00422215 PUSH DWORD PTR FS:[EAX] ; ESP=0012FF48 00422241 MOV EDX, 00408B75 ; EDX=00408B75 00422271 ADD EDX, EBP ; EDX=00429B75 0042229C XOR EAX, EAX 004222C7 SUB ESP, 8 ; ESP=0012FF40 00422321 PUSH DWORD PTR FS:[EAX] ; ESP=0012FF38 0042234F MOV FS:[EAX], ESP 0042237B ADD ESP, 10 ; ESP=0012FF48 004223A9 PUSH EDX ; ESP=0012FF44 004223D5 PUSH DWORD PTR FS:[EAX] ; ESP=0012FF40 00422403 MOV FS:[EAX], ESP 00422431 PUSH EDX ; ESP=0012FF3C 0042245D PUSH DWORD PTR FS:[EAX] ; ESP=0012FF38 B 0042248B MOV FS:[EAX], ESP 004224B9 LOCK CMPXCHG8B EAX 我想这一段大概是想破坏seh链吧... 坚持用普通od感觉不爽,哪天改一个玩玩:D |
|
|
|
|
|
[7.5更新] UPX ShellExt v1.0 RC5
果然不是文件名问题.te98x.exe也挂了.还是在完善一下吧. |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值