Xtreme-Protector壳加破-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Xtreme-Protector壳加破

发表于: 2005-1-21 18:44 17533

Xtreme-Protector壳加破

KernelKiller 活跃值

2005-1-21 18:44

17533

哎！周末又到了，放假我开心。在下班前发给大家1个加有XProtector壳的程序让大家破。。
很简单，10分钟搞定，本来想直接公布过程可又怕大家觉得这玩意太简单写文章出来是浪费大家时间观看。。哎！还是决定先放个文件让大家试试，周一来如果大家未能破我就公开分析过程吧。。嘿嘿。。

附件：Test.part1.rar 附件：Test.part1.rar 附件：Test.part2.rar 附件：Test.part2.rar

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (57) 1 2 3 ▶
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2 楼拿我白痴吗？我发过XPR的UNPACKME，你可以先试试。 2005-1-21 18:46 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 3 楼这个楼主简直连白痴都不如！根本不知道XPR为何物？！很简单我放个给你破要不要？给你10个月！不是10分钟，如何？！ 2005-1-21 19:40 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼等周一 :o 2005-1-21 20:35 0
china 雪币： 3638 活跃值： (4197) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1984 粉丝 9 关注私信	china 5 5 楼最初由 fly 发布等周一 :o me too. 2005-1-21 21:40 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 6 楼我也等周一！ 2005-1-21 21:41 0
Salivaxiu 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 127 粉丝 0 关注私信	Salivaxiu 7 楼法帖1，就说明只有这个帖子是他发的。我估计这个是个外挂的程序，用XP加的外挂不多，估计是999系列的？等我下载下来，看看它的真身！ 2005-1-21 23:42 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 8 楼 :o 我也等周一 2005-1-22 00:04 0
骷髅雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	骷髅 9 楼我靠,10分钟,你也真会骗呀想骗教程呀,用这种下三滥的手段. 都等周一到时看你怎么办 2005-1-22 00:06 0
骷髅雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	骷髅 10 楼最初由 Salivaxiu 发布法帖1，就说明只有这个帖子是他发的。我估计这个是个外挂的程序，用XP加的外挂不多，估计是999系列的？等我下载下来，看看它的真身！同意你的看法我也估计他看上了某个外挂,脱不了,放个东西上来骗教程. 呵呵,这年头呀.......... 2005-1-22 00:10 0
飘渺虚无雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	飘渺虚无 11 楼我倒是很有兴趣看看28号会发生什么！（楼主在上传的时候是怎么命名附件的，居然还要自己手动改过来…） 2005-1-22 01:42 0
great123 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	great123 12 楼等周一............ 2005-1-22 11:13 0
great123 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	great123 13 楼最初由 Salivaxiu 发布法帖1，就说明只有这个帖子是他发的。我估计这个是个外挂的程序，用XP加的外挂不多，估计是999系列的？等我下载下来，看看它的真身！不懂就别乱说话~你自己看那个exe了吗?估计个屁?最烦你们这些没有亲自测试就乱放P的家伙! 2005-1-22 11:38 0
great123 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	great123 14 楼最初由 veryman 发布这个楼主简直连白痴都不如！根本不知道XPR为何物？！很简单我放个给你破要不要？给你10个月！不是10分钟，如何？！自己不行就不要猜测别人也不行,最反感你们这些人云亦云的家伙了!!! 以前没有OD和SoftICE的时候就没有破解了???靠,没有一点IQ~~~~ 2005-1-22 11:40 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 15 楼 “妈妈的约，你蠢的象猪” ：搂主不会破解前难道就是猪么 2005-1-22 13:04 0
loveboom 雪币： 556 活跃值： (2298) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 16 楼 :D 如果真是xpr的话，就不用等周一了，我等人水平太菜了，就算结果出来了，我们也是看不懂D!. 2005-1-22 13:46 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 17 楼这么多人关注，原创怎么也没个反映，去大了？风萧萧兮易水寒，壮士一大兮不复还。:D 2005-1-22 16:53 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 18 楼我也等................. 2005-1-22 18:30 0
Boneasher 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 70 粉丝 0 关注私信	Boneasher 19 楼 XPr加壳的程序如果没有用SDK，还是可以脱的，呵呵。下面是我的脱法，有点麻烦。一）第一次Dump 1）让加壳程序加载自己的DLL 加壳程序一般会用到comctl32的InitCommonControls，或者User32的MessageBoxA。我们只要改一下程序的引入表就可以调用自己的DLL了。 2）用Hook API实现Dump 在DLL的Process Attach里Hook一个API（我一般用ExitProcess）来调自己的函数。在函数里用WriteFile把EXEDump出来。二）第二次Dump 1）根据第一次Dump的EXE分析出OEP，^_^。 2）用同样的方法Hook程序入口开始第一个调用的API，再次Dump 3）修复OEP处的Stolen Code，XPr抽取的不是很厉害，一般对照一下就可以修复三）修复 4）反汇编Dump出来的EXE发现，程序里面API的call都被改了，需要修复。由于比较有规律，可以写个程序来修复。四）IAT的修复 5）IAT里面User32和Kernel之类一般被处理了，可以把对应的内存dump出来，考到另外一个EXE里在跟踪。需要一个一个修复。如果没有SDK应该就可以正常运行啦 2005-1-22 19:38 0
Boneasher 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 70 粉丝 0 关注私信	Boneasher 20 楼用到的工具有： OD，修复IAT用 VC，写DLL和修复Dump文件的EXE WinHex，拷贝文件到内存 ImpRec，修复IAT PE Editor，修复Dump.exe的节表。像楼主发的加壳程序第一步Dump出来就可以让它不骂人了。 2005-1-22 19:43 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 21 楼最初由 Boneasher 发布 XPr加壳的程序如果没有用SDK，还是可以脱的，呵呵。下面是我的脱法，有点麻烦。一）第一次Dump 1）让加壳程序加载自己的DLL ........ 对的很少，错的很多。是在梦里调试的吗？ 2005-1-22 21:36 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 22 楼鸡蛋壳你错了，这样做是可以Dump的。 2005-1-22 22:54 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 23 楼最初由 Boneasher 发布用到的工具有： OD，修复IAT用 VC，写DLL和修复Dump文件的EXE WinHex，拷贝文件到内存 ImpRec，修复IAT ........ 说得轻巧！破当然都可以破解，时间问题，你说的步骤工具是没错，但是xpr是个灵活的加密工具，不用sdk照样可以搞死你！问苍天：谁还能有耐心完成你说的每一个步骤？！！！恐怕坚持到最后一步人都快成皮包骨头了！ 2005-1-22 23:46 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 24 楼楼主如果那么牛B，那么就把最新的TheMiDA 1.001 demo先搞定算了，反正你只要10分钟！10分钟可以让很多人受益！也可以让你扬名全球黑客界！ 2005-1-22 23:50 0
Boneasher 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 70 粉丝 0 关注私信	Boneasher 25 楼当然不轻巧啦.上面的脱法中花时间的步骤是IAT的修复.有些DLL被处理了,如果函数多的话可能要花大半天,其他步骤还是很省时间的. 最初由 veryman 发布说得轻巧！破当然都可以破解，时间问题，你说的步骤工具是没错，但是xpr是个灵活的加密工具，不用sdk照样可以搞死你！问苍天：谁还能有耐心完成你说的每一个步骤？！！！恐怕坚持到最后一步人都快成皮包骨头了！ 2005-1-23 00:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KernelKiller

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (57) 1 2 3 ▶
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2 楼拿我白痴吗？我发过XPR的UNPACKME，你可以先试试。 2005-1-21 18:46 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 3 楼这个楼主简直连白痴都不如！根本不知道XPR为何物？！很简单我放个给你破要不要？给你10个月！不是10分钟，如何？！ 2005-1-21 19:40 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼等周一 :o 2005-1-21 20:35 0
china 雪币： 3638 活跃值： (4197) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1984 粉丝 9 关注私信	china 5 5 楼最初由 fly 发布等周一 :o me too. 2005-1-21 21:40 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 6 楼我也等周一！ 2005-1-21 21:41 0
Salivaxiu 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 127 粉丝 0 关注私信	Salivaxiu 7 楼法帖1，就说明只有这个帖子是他发的。我估计这个是个外挂的程序，用XP加的外挂不多，估计是999系列的？等我下载下来，看看它的真身！ 2005-1-21 23:42 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 8 楼 :o 我也等周一 2005-1-22 00:04 0
骷髅雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	骷髅 9 楼我靠,10分钟,你也真会骗呀想骗教程呀,用这种下三滥的手段. 都等周一到时看你怎么办 2005-1-22 00:06 0
骷髅雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	骷髅 10 楼最初由 Salivaxiu 发布法帖1，就说明只有这个帖子是他发的。我估计这个是个外挂的程序，用XP加的外挂不多，估计是999系列的？等我下载下来，看看它的真身！同意你的看法我也估计他看上了某个外挂,脱不了,放个东西上来骗教程. 呵呵,这年头呀.......... 2005-1-22 00:10 0
飘渺虚无雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	飘渺虚无 11 楼我倒是很有兴趣看看28号会发生什么！（楼主在上传的时候是怎么命名附件的，居然还要自己手动改过来…） 2005-1-22 01:42 0
great123 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	great123 12 楼等周一............ 2005-1-22 11:13 0
great123 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	great123 13 楼最初由 Salivaxiu 发布法帖1，就说明只有这个帖子是他发的。我估计这个是个外挂的程序，用XP加的外挂不多，估计是999系列的？等我下载下来，看看它的真身！不懂就别乱说话~你自己看那个exe了吗?估计个屁?最烦你们这些没有亲自测试就乱放P的家伙! 2005-1-22 11:38 0
great123 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	great123 14 楼最初由 veryman 发布这个楼主简直连白痴都不如！根本不知道XPR为何物？！很简单我放个给你破要不要？给你10个月！不是10分钟，如何？！自己不行就不要猜测别人也不行,最反感你们这些人云亦云的家伙了!!! 以前没有OD和SoftICE的时候就没有破解了???靠,没有一点IQ~~~~ 2005-1-22 11:40 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 15 楼 “妈妈的约，你蠢的象猪” ：搂主不会破解前难道就是猪么 2005-1-22 13:04 0
loveboom 雪币： 556 活跃值： (2298) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 16 楼 :D 如果真是xpr的话，就不用等周一了，我等人水平太菜了，就算结果出来了，我们也是看不懂D!. 2005-1-22 13:46 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 17 楼这么多人关注，原创怎么也没个反映，去大了？风萧萧兮易水寒，壮士一大兮不复还。:D 2005-1-22 16:53 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 18 楼我也等................. 2005-1-22 18:30 0
Boneasher 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 70 粉丝 0 关注私信	Boneasher 19 楼 XPr加壳的程序如果没有用SDK，还是可以脱的，呵呵。下面是我的脱法，有点麻烦。一）第一次Dump 1）让加壳程序加载自己的DLL 加壳程序一般会用到comctl32的InitCommonControls，或者User32的MessageBoxA。我们只要改一下程序的引入表就可以调用自己的DLL了。 2）用Hook API实现Dump 在DLL的Process Attach里Hook一个API（我一般用ExitProcess）来调自己的函数。在函数里用WriteFile把EXEDump出来。二）第二次Dump 1）根据第一次Dump的EXE分析出OEP，^_^。 2）用同样的方法Hook程序入口开始第一个调用的API，再次Dump 3）修复OEP处的Stolen Code，XPr抽取的不是很厉害，一般对照一下就可以修复三）修复 4）反汇编Dump出来的EXE发现，程序里面API的call都被改了，需要修复。由于比较有规律，可以写个程序来修复。四）IAT的修复 5）IAT里面User32和Kernel之类一般被处理了，可以把对应的内存dump出来，考到另外一个EXE里在跟踪。需要一个一个修复。如果没有SDK应该就可以正常运行啦 2005-1-22 19:38 0
Boneasher 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 70 粉丝 0 关注私信	Boneasher 20 楼用到的工具有： OD，修复IAT用 VC，写DLL和修复Dump文件的EXE WinHex，拷贝文件到内存 ImpRec，修复IAT PE Editor，修复Dump.exe的节表。像楼主发的加壳程序第一步Dump出来就可以让它不骂人了。 2005-1-22 19:43 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 21 楼最初由 Boneasher 发布 XPr加壳的程序如果没有用SDK，还是可以脱的，呵呵。下面是我的脱法，有点麻烦。一）第一次Dump 1）让加壳程序加载自己的DLL ........ 对的很少，错的很多。是在梦里调试的吗？ 2005-1-22 21:36 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 22 楼鸡蛋壳你错了，这样做是可以Dump的。 2005-1-22 22:54 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 23 楼最初由 Boneasher 发布用到的工具有： OD，修复IAT用 VC，写DLL和修复Dump文件的EXE WinHex，拷贝文件到内存 ImpRec，修复IAT ........ 说得轻巧！破当然都可以破解，时间问题，你说的步骤工具是没错，但是xpr是个灵活的加密工具，不用sdk照样可以搞死你！问苍天：谁还能有耐心完成你说的每一个步骤？！！！恐怕坚持到最后一步人都快成皮包骨头了！ 2005-1-22 23:46 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 24 楼楼主如果那么牛B，那么就把最新的TheMiDA 1.001 demo先搞定算了，反正你只要10分钟！10分钟可以让很多人受益！也可以让你扬名全球黑客界！ 2005-1-22 23:50 0
Boneasher 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 70 粉丝 0 关注私信	Boneasher 25 楼当然不轻巧啦.上面的脱法中花时间的步骤是IAT的修复.有些DLL被处理了,如果函数多的话可能要花大半天,其他步骤还是很省时间的. 最初由 veryman 发布说得轻巧！破当然都可以破解，时间问题，你说的步骤工具是没错，但是xpr是个灵活的加密工具，不用sdk照样可以搞死你！问苍天：谁还能有耐心完成你说的每一个步骤？！！！恐怕坚持到最后一步人都快成皮包骨头了！ 2005-1-23 00:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复