首页
社区
课程
招聘
[原创]Private exe Protector 3.14 Unpacked By Kissy[PeMagic]
发表于: 2010-3-15 14:35 3767

[原创]Private exe Protector 3.14 Unpacked By Kissy[PeMagic]

2010-3-15 14:35
3767


新版资源加密变了下,演示一种简单的处理方式

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 129
活跃值: (53)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
2
他的IAT加密是有问题的 体现在C程序里面
保护选项一个都不选 他也是会处理IAT的 IAT里面的地址被他换成了加密的地址 但是IAT调用它却没有处理
BORLAND程序一般没问题 但是C里面有这样的调用
mov eax,[xx]
作者想当然的以为后面肯定是call eax,那么这样也可以的.问题是有些时候后面可能是
mov esi,[eax]或者其他代码.尤其是在记事本或者计算器这种特殊的文件里,那这里必挂无疑.

拿晕7记事本测试
入口附近
00863753   > /A1 10138600   mov eax,dword ptr ds:[861310]
00863758   . |8B30          mov esi,dword ptr ds:[eax]
0086375A   > |8975 E0       mov dword ptr ss:[ebp-20],esi
0086375D   . |8A06          mov al,byte ptr ds:[esi]

861310:
00861300 >76E727C3  msvcrt.__p__commode
00861304 >76EF77AD  msvcrt.__setusermatherr
00861308 >76ECB2EF  msvcrt._amsg_exit
0086130C >76E6C151  msvcrt._initterm
00861310 >76F004D8  offset msvcrt._acmdln
00861314 >76E736AA  msvcrt.exit
00861318 >76E6F607  msvcrt._ismbblead
0086131C >76E8DC75  msvcrt._XcptFilter
00861320 >76E72BC0  msvcrt.__getmainargs
00861324 >76E737D4  msvcrt._cexit
00861328 >76ECB2C0  msvcrt._exit

一般来说 IAT是连续的 就算分段 每段之间也是连续的 这里00861310出现了个OFFSET
HOHO 于是就挂了
不知道是作者没有测试 还是偷懒有意不支持这类特殊PE文件?
其实 就算这里解决了 他还是不支持记事本的 应该说是他在整体设计的时候 就压根没打算支持这类特殊文件.
很多加密壳有选择性的加密API,看来是很明智的.
2010-3-15 15:32
0
雪    币: 258
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
楼主脱壳真是太完美了,能不能帮忙把这个程序的壳脱一下,我要汉化,谢谢了

http://www.aoamedia.com/AoAMP4Converter.exe
2010-3-16 07:50
0
雪    币: 161
活跃值: (261)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
感謝大大分享加殼軟體.
2010-3-16 10:43
0
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这个进来学习下
2010-3-21 20:07
0
雪    币: 131
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
很强大,收藏了。
2010-3-22 09:22
0
游客
登录 | 注册 方可回帖
返回
//