[求助]关于脱EncryptPE V2.2004.8.10的壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
xushan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xushan 2 楼正在分析新的壳的过程中。本人是大菜鸟一个，进展还不多，以下是我的发现，希望大家一起讨论一下。 1.运行程序后，壳程序首先会在系统目录下CreateFile，建立一个V22004810.EPE的文件。并Map之。 2.通过填充V22004810.EPE在内存中的镜象，来给V22004810.EPE中的内容来赋值。 3.赋值的数据是通过程序中的一些数据的or dl,dh来获得。 4.在保存V22004810.EPE内容，并关闭相关句柄后，通过LoadLibary载入之。 ...... 我暂时就调到这里，正在分析V22004810.EPE的过程中，其实就相当于在分析一DLL...... 现在工作太忙，没时间搞这些，所以进展肯定超级慢，希望大家讨论讨论，还给我这个大菜鸟一点提示。 2005-2-2 22:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 3 楼 ...这种分析是在...不敢恭维. 2005-2-2 22:33 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 4 楼我有一个使他不注入explorer的方法，不知道对不对。不过弄了之后确实看得到进进程了。 1。bp WriteProcessMemory , F9 2.将左下角那个框框（本来是hex)改成显示指令dump 3。buffer 上 fellow in dump 4.将指令（本来是 EB XX) 改成（EB FE) 5.F9 运行 6。看得到进程了 /////////////// 我瞎弄得，没原理，大虾看到笑话了，能否告诉我为啥？ ///////////////// 这好像是一个不是原理的原理： What we will do is Make the CHILD PROCESS Entry Point, and INFINiTE LOOP (hex; EB FE) we make an Infinite loop so we can Pause at the Entry Point of the Child Process :) and we can do this using API: WriteProcessMemory 2005-2-3 11:59 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 5 楼最初由 vrowang123 发布我有一个使他不注入explorer的方法，不知道对不对。不过弄了之后确实看得到进进程了。 1。bp WriteProcessMemory , F9 2.将左下角那个框框（本来是hex)改成显示指令dump 3。buffer 上 fellow in dump ........ go to 98/ME. 2005-2-3 20:17 0
kadyfain 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kadyfain 6 楼谁把这个壳脱了呀，教教我呀！！！ 2005-2-4 13:15 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 7 楼最初由 q3 watcher 发布 go to 98/ME. thanks winXP 2005-2-4 19:39 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼程序是被DUMP下来了。因为我没有运行Explorer 我看它注，还不给循环。 2005-2-4 21:48 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 9 楼最初由鸡蛋壳发布程序是被DUMP下来了。因为我没有运行Explorer 我看它注，还不给循环。 iat没加密么？他会擦去PE头的哇 2005-2-5 12:19 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 10 楼鸡蛋壳可真够猛的，这也有 2005-2-5 13:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
xushan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xushan 2 楼正在分析新的壳的过程中。本人是大菜鸟一个，进展还不多，以下是我的发现，希望大家一起讨论一下。 1.运行程序后，壳程序首先会在系统目录下CreateFile，建立一个V22004810.EPE的文件。并Map之。 2.通过填充V22004810.EPE在内存中的镜象，来给V22004810.EPE中的内容来赋值。 3.赋值的数据是通过程序中的一些数据的or dl,dh来获得。 4.在保存V22004810.EPE内容，并关闭相关句柄后，通过LoadLibary载入之。 ...... 我暂时就调到这里，正在分析V22004810.EPE的过程中，其实就相当于在分析一DLL...... 现在工作太忙，没时间搞这些，所以进展肯定超级慢，希望大家讨论讨论，还给我这个大菜鸟一点提示。 2005-2-2 22:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 3 楼 ...这种分析是在...不敢恭维. 2005-2-2 22:33 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 4 楼我有一个使他不注入explorer的方法，不知道对不对。不过弄了之后确实看得到进进程了。 1。bp WriteProcessMemory , F9 2.将左下角那个框框（本来是hex)改成显示指令dump 3。buffer 上 fellow in dump 4.将指令（本来是 EB XX) 改成（EB FE) 5.F9 运行 6。看得到进程了 /////////////// 我瞎弄得，没原理，大虾看到笑话了，能否告诉我为啥？ ///////////////// 这好像是一个不是原理的原理： What we will do is Make the CHILD PROCESS Entry Point, and INFINiTE LOOP (hex; EB FE) we make an Infinite loop so we can Pause at the Entry Point of the Child Process :) and we can do this using API: WriteProcessMemory 2005-2-3 11:59 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 5 楼最初由 vrowang123 发布我有一个使他不注入explorer的方法，不知道对不对。不过弄了之后确实看得到进进程了。 1。bp WriteProcessMemory , F9 2.将左下角那个框框（本来是hex)改成显示指令dump 3。buffer 上 fellow in dump ........ go to 98/ME. 2005-2-3 20:17 0
kadyfain 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kadyfain 6 楼谁把这个壳脱了呀，教教我呀！！！ 2005-2-4 13:15 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 7 楼最初由 q3 watcher 发布 go to 98/ME. thanks winXP 2005-2-4 19:39 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 8 楼程序是被DUMP下来了。因为我没有运行Explorer 我看它注，还不给循环。 2005-2-4 21:48 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 9 楼最初由鸡蛋壳发布程序是被DUMP下来了。因为我没有运行Explorer 我看它注，还不给循环。 iat没加密么？他会擦去PE头的哇 2005-2-5 12:19 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 10 楼鸡蛋壳可真够猛的，这也有 2005-2-5 13:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复