eXPressor V1.0脱壳+破解――eXPressor主程序-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

eXPressor V1.0脱壳+破解――eXPressor主程序

发表于: 2005-2-1 12:20 12380

eXPressor V1.0脱壳+破解――eXPressor主程序

fly

2005-2-1 12:20

12380

eXPressor V1.0脱壳+破解――eXPressor主程序


下载页面：  http://itimer.home.ro/
软件大小：  87 KB
软件简介：  eXpressor can compress EXE files to half their normal size. Once compressed, the files execute just like normal.

【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！

【调试环境】：WinXP、Ollydbg V1.10、PEiD、LordPE

―――――――――――――――――――――――――――――――――
【脱壳过程】：


PEiD的Sign：
[eXPressor V1.X -> CGSoftLabs]
signature = E9 35 14 00 00 E9 31 13 00 00 E9 98 12 00 00 E9 EF 0C 00 00 E9 42 13 00 00 E9 E9 02 00 00 E9 EF 0B 00 00 E9 1B 0D 00 00
―――――――――――――――――――――――――――――――――
eXPressor是新出的压缩壳，脱壳很简单。

00432019    E9 35140000       jmp eXPresso.00433453
//进入Ollydbg后暂停在这

Ctrl+F 在当前位置下搜索命令：
add eax,dword ptr ds:[edx+0F0]
找到在00433739处
直接下命令：G 00433739

确定弹出的“Nfo”提示，中断下来

00433730    8B55 F4          mov edx,dword ptr ss:[ebp-C]
00433733    8B85 ECFEFFFF    mov eax,dword ptr ss:[ebp-114]
00433739    0382 F0000000    add eax,dword ptr ds:[edx+F0]
//[edx+F0]=[004001F0]=0001F858 输入表的RVA ★
0043373F    8985 38FEFFFF    mov dword ptr ss:[ebp-1C8],eax
00433745    8B8D 38FEFFFF    mov ecx,dword ptr ss:[ebp-1C8]
0043374B    8379 0C 00       cmp dword ptr ds:[ecx+C],0
0043374F    0F84 B4020000    je eXPresso.00433A09

此时程序已经解开，API函数的系统地址还未填充到IAT中，正是Dump的好时机！
运行LordPE完全Dump这个进程。

下面来寻找OEP了。

Ctrl+F 搜索命令：
jmp dword ptr ss:[ebp-1B0]
找到在00433C24处，F4过去

00433C06    8B95 ECFEFFFF    mov edx,dword ptr ss:[ebp-114]
00433C0C    0315 80904300    add edx,dword ptr ds:[439080]
00433C12    8B45 F4          mov eax,dword ptr ss:[ebp-C]
00433C15    0350 34          add edx,dword ptr ds:[eax+34]
00433C18    2B95 ECFEFFFF    sub edx,dword ptr ss:[ebp-114]
00433C1E    8995 50FEFFFF    mov dword ptr ss:[ebp-1B0],edx
00433C24    FFA5 50FEFFFF    jmp dword ptr ss:[ebp-1B0] ; eXPresso.00404C19
//飞向光明之巅！ ^O^

用LordPE修正脱壳文件的OEP RVA=00004C19，修正Import Table RVA=0001F858
删除.epld、.eplid、.epldat、.eplrl壳区段，然后重建PE优化一下。
这样马马虎虎也算是完美脱壳吧。OK，脱壳完成了！

破解也很简单。去除运行时的NAG，把0042E42D处的00修改为01即可。

―――――――――――――――――――――――――――――――――

      ,    _/
      /| _.-~/          \_    ,       青春都一晌
   ( /~ /             \~-._ |\
   `\\  _/             \ ~\ )       忍把浮名
_-~~~-.)  )__/;;,.       \_  //'
  /'_,\ --~ \ ~~~-  ,;;\___(  (.-~~~-.       换了破解轻狂
`~ _( ,_..--\ (    ,;'' / ~-- /._`\
  /~~//' /' `~\       ) /--.._, )_  `~
  "  `~"  "    `"    /~'`\ `\\~~\
                     "    " "~'  ""

            UnPacked By :  fly
            2005-02-01 10:00

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・7

支持

最新回复 (18)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼压缩包含有文件： eXPressor V1.0脱壳+破解――eXPressor主程序.txt nfo.txt UnPacked-Cracked-eXPressor.exe 附件:eXPressor.rar 2005-2-1 12:21 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 3 楼学习。 2005-2-1 12:22 0
stan52 雪币： 12323 活跃值： (4040) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 254 粉丝 0 关注私信	stan52 4 楼谢谢提供! 2005-2-1 12:51 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼 fly始终密切关注全球新壳动态中。。。 2005-2-1 13:52 0
ock 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	ock 6 楼保存 2005-2-1 13:58 0
lucktiger 雪币： 5893 活跃值： (2712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 7 楼把未脱壳的程序的一下代码全部 nop 就不会出现nag了 004334A0 90 NOP 004334A1 90 NOP 004334A2 90 NOP 004334A3 90 NOP 004334A4 90 NOP 004334A5 90 NOP 004334A6 90 NOP 004334A7 90 NOP 004334A8 90 NOP 004334A9 90 NOP 004334AA 90 NOP 004334AB 90 NOP 004334AC 90 NOP 004334AD 90 NOP 004334AE 90 NOP 004334AF 90 NOP 004334B0 90 NOP 004334B1 90 NOP 004334B2 90 NOP 004334B3 90 NOP 这个壳，加壳都不成功。 2005-2-1 14:30 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼只是压缩壳，不注重保护记事本可以加壳成功的 2005-2-1 15:21 0
lucktiger 雪币： 5893 活跃值： (2712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 9 楼 fly 发一个看看，我这里可以加壳，但无法运行。 2005-2-1 15:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼加壳的98记事本可以在XP sp2下运行附件:NotePad.rar 2005-2-1 15:49 0
great123 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	great123 11 楼多谢分享,辛苦了 2005-2-1 16:18 0
lucktiger 雪币： 5893 活跃值： (2712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 12 楼终于脱壳成功，你的记事本是英文版的，在我这里可以运行，我加pwin98记事本还是不成功，提示少dll文件，算了。谢谢!! 2005-2-1 16:20 0
海雨天风雪币： 212 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	海雨天风 1 13 楼我跟踪了一下，其实这个就是29A#8里的那个壳.只不过稍微改了下界面换了个名字而已.晕~~~ 2005-2-1 21:14 0
linhanshi 雪币： 97697 活跃值： (200824) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 14 楼支持... 2005-2-2 08:26 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 15 楼顶啊~~~ 2005-2-2 10:19 0
Suofanker 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	Suofanker 16 楼不错不错哈哈 2005-2-2 17:58 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 17 楼谢谢提供! 2005-2-4 14:15 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 18 楼脱ExPressor最容易的方法就是: Ollydbg载入第一回: 1.bp GetVersion 2.alt+f9 3.往上找push ebp就是oep了. Ollydbg载入第二回: 1.清除所有断点 2.he oep 3.dump+iat fix 4.收工 2005-2-4 16:56 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 19 楼不错，谢谢提供。 2005-2-4 18:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼压缩包含有文件： eXPressor V1.0脱壳+破解――eXPressor主程序.txt nfo.txt UnPacked-Cracked-eXPressor.exe 附件:eXPressor.rar 2005-2-1 12:21 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 3 楼学习。 2005-2-1 12:22 0
stan52 雪币： 12323 活跃值： (4040) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 254 粉丝 0 关注私信	stan52 4 楼谢谢提供! 2005-2-1 12:51 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼 fly始终密切关注全球新壳动态中。。。 2005-2-1 13:52 0
ock 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	ock 6 楼保存 2005-2-1 13:58 0
lucktiger 雪币： 5893 活跃值： (2712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 7 楼把未脱壳的程序的一下代码全部 nop 就不会出现nag了 004334A0 90 NOP 004334A1 90 NOP 004334A2 90 NOP 004334A3 90 NOP 004334A4 90 NOP 004334A5 90 NOP 004334A6 90 NOP 004334A7 90 NOP 004334A8 90 NOP 004334A9 90 NOP 004334AA 90 NOP 004334AB 90 NOP 004334AC 90 NOP 004334AD 90 NOP 004334AE 90 NOP 004334AF 90 NOP 004334B0 90 NOP 004334B1 90 NOP 004334B2 90 NOP 004334B3 90 NOP 这个壳，加壳都不成功。 2005-2-1 14:30 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼只是压缩壳，不注重保护记事本可以加壳成功的 2005-2-1 15:21 0
lucktiger 雪币： 5893 活跃值： (2712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 9 楼 fly 发一个看看，我这里可以加壳，但无法运行。 2005-2-1 15:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼加壳的98记事本可以在XP sp2下运行附件:NotePad.rar 2005-2-1 15:49 0
great123 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	great123 11 楼多谢分享,辛苦了 2005-2-1 16:18 0
lucktiger 雪币： 5893 活跃值： (2712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 12 楼终于脱壳成功，你的记事本是英文版的，在我这里可以运行，我加pwin98记事本还是不成功，提示少dll文件，算了。谢谢!! 2005-2-1 16:20 0
海雨天风雪币： 212 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	海雨天风 1 13 楼我跟踪了一下，其实这个就是29A#8里的那个壳.只不过稍微改了下界面换了个名字而已.晕~~~ 2005-2-1 21:14 0
linhanshi 雪币： 97697 活跃值： (200824) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 14 楼支持... 2005-2-2 08:26 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 15 楼顶啊~~~ 2005-2-2 10:19 0
Suofanker 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	Suofanker 16 楼不错不错哈哈 2005-2-2 17:58 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 17 楼谢谢提供! 2005-2-4 14:15 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 18 楼脱ExPressor最容易的方法就是: Ollydbg载入第一回: 1.bp GetVersion 2.alt+f9 3.往上找push ebp就是oep了. Ollydbg载入第二回: 1.清除所有断点 2.he oep 3.dump+iat fix 4.收工 2005-2-4 16:56 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 19 楼不错，谢谢提供。 2005-2-4 18:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复