-
-
[旧帖] 关于:EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h3) 0.00雪花
-
发表于: 2010-3-19 00:41
-
程式界面:
用脱壳机脱后:
Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]
ExeCryptor 2.x.x脱壳机 版本: 1.0 RC2
- - - - - - - - - - - - - - - - 设置信息 - - - - - - - - - - - - - - - - - - -
- 清除GetModuleHandleA指针
- 去除"Debugger Detected"消息
- 修补文件CRC校验
- 修补内存CRC校验
- 移除文件头中的垃圾
- 修正PE文件头的TLS
- 剪切区段
- 重建动态输入表: 允许
- 在Dump中修复IAT
- 查找VM OEP
- - - - - - - - - - - - - - 开始脱壳 - - - - - - - - - - - - - - - -
文件: D:\个人重要资料(勿删)\Administrator\桌面\Unpacker ExeCryptor RC2\kkk.exe
创建进程... PID = 0x540 ... 完成
查找标志函数... 完成
加壳版本 >= 2.4.1.0
在函数中设置断点... 完成
解压缩区段 ".text" - 是
解压缩区段 ".text1" - 是
解压缩区段 "xefiitm6" - 是
解压缩区段 ".dat0" - 是
解压缩区段 "etpwyiux" - 是
设置附加代码区段的内存断点... 完成
等待...
修补文件CRC校验...完
测试!!! 内存和文件CRC 在 2.4.xx ( VA = 61BA4B) ... 完成
未发现内存CRC校验
保存映像... 完成
清除附加代码区段的内存断点... 完成
新TLS表: 0
移除PE文件头的垃圾代码... 完成
查找GetModuleHandleA的位置:
GetModuleHandle 的地址 [6000B4].
没找到指针
去除<Debugger Detected>消息 (方法 3): OK
IAT Start: 0x435000
IAT End: 0x4356C0
Check Import table for emulate API...Done -> Nothing
Fix IAT in Dump... 成功!
动态查找OEP: 12325 (Crypted code)
程序能正常启动.....但是用PDID查找还是什么也没有....
用OD加载后:
00412306 |. 8BCF |MOV ECX,EDI
00412308 |. E8 08E00100 |CALL Loader_u.00430315
0041230D |. 85F6 |TEST ESI,ESI
0041230F |.^ 74 EE |JE SHORT Loader_u.004122FF
00412311 |. 8B06 |MOV EAX,DWORD PTR DS:[ESI]
00412313 |. 6A 01 |PUSH 1
00412315 |. 8BCE |MOV ECX,ESI
00412317 |. FF10 |CALL DWORD PTR DS:[EAX]
00412319 |.^ EB E4 \JMP SHORT Loader_u.004122FF
0041231B |> 6A 0B PUSH 0B
0041231D |. E8 27E90100 CALL Loader_u.00430C49
00412322 |. 5F POP EDI
00412323 |. 5E POP ESI
00412324 \. C3 RETN
00412325 > $- E9 238A2100 JMP Loader_u.0062AD4D ===>停在这里 ; (initial cpu selection)
0041232A 0F DB 0F
0041232B 84 DB 84
0041232C F4 DB F4
0041232D D0 DB D0
0041232E 21 DB 21 ; CHAR '!'
0041232F 00 DB 00
00412330 .- E9 CBEC1E00 JMP Loader_u.00601000
00412335 . 65:FE0B DEC BYTE PTR GS:[EBX]
00412338 . B4 30 MOV AH,30
0041233A . 50 PUSH EAX
0041233B . 64:8925 00000>MOV DWORD PTR FS:[0],ESP
00412342 . 83EC 58 SUB ESP,58
00412345 . 53 PUSH EBX
00412346 . 56 PUSH ESI
00412347 . 57 PUSH EDI
00412348 . 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
0041234B . FF15 54524300 CALL DWORD PTR DS:[<&KERNEL32.GetVersion>; kernel32.GetVersion
00412351 . 33D2 XOR EDX,EDX
00412353 . 8AD4 MOV DL,AH
00412355 . 8915 DCB84400 MOV DWORD PTR DS:[44B8DC],EDX
0041235B . 8BC8 MOV ECX,EAX
0041235D . 81E1 FF000000 AND ECX,0FF
00412363 . 890D D8B84400 MOV DWORD PTR DS:[44B8D8],ECX
00412369 . C1E1 08 SHL ECX,8
0041236C . 03CA ADD ECX,EDX
0041236E . 890D D4B84400 MOV DWORD PTR DS:[44B8D4],ECX
00412374 . C1E8 10 SHR EAX,10
00412377 . A3 D0B84400 MOV DWORD PTR DS:[44B8D0],EAX
0041237C . 6A 01 PUSH 1
0041237E . E8 AA320000 CALL Loader_u.0041562D
不知道这个算脱壳成功没有????如果没有成功,需要怎么修复呢???
谢谢.......
但是我感觉到没有直接运行到:[<&KERNEL32.GetVersion>这里来..应该是没有脱完全...
请问要怎么做呢?
用脱壳机脱后:
Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]
ExeCryptor 2.x.x脱壳机 版本: 1.0 RC2
- - - - - - - - - - - - - - - - 设置信息 - - - - - - - - - - - - - - - - - - -
- 清除GetModuleHandleA指针
- 去除"Debugger Detected"消息
- 修补文件CRC校验
- 修补内存CRC校验
- 移除文件头中的垃圾
- 修正PE文件头的TLS
- 剪切区段
- 重建动态输入表: 允许
- 在Dump中修复IAT
- 查找VM OEP
- - - - - - - - - - - - - - 开始脱壳 - - - - - - - - - - - - - - - -
文件: D:\个人重要资料(勿删)\Administrator\桌面\Unpacker ExeCryptor RC2\kkk.exe
创建进程... PID = 0x540 ... 完成
查找标志函数... 完成
加壳版本 >= 2.4.1.0
在函数中设置断点... 完成
解压缩区段 ".text" - 是
解压缩区段 ".text1" - 是
解压缩区段 "xefiitm6" - 是
解压缩区段 ".dat0" - 是
解压缩区段 "etpwyiux" - 是
设置附加代码区段的内存断点... 完成
等待...
修补文件CRC校验...完
测试!!! 内存和文件CRC 在 2.4.xx ( VA = 61BA4B) ... 完成
未发现内存CRC校验
保存映像... 完成
清除附加代码区段的内存断点... 完成
新TLS表: 0
移除PE文件头的垃圾代码... 完成
查找GetModuleHandleA的位置:
GetModuleHandle 的地址 [6000B4].
没找到指针
去除<Debugger Detected>消息 (方法 3): OK
IAT Start: 0x435000
IAT End: 0x4356C0
Check Import table for emulate API...Done -> Nothing
Fix IAT in Dump... 成功!
动态查找OEP: 12325 (Crypted code)
程序能正常启动.....但是用PDID查找还是什么也没有....
用OD加载后:
00412306 |. 8BCF |MOV ECX,EDI
00412308 |. E8 08E00100 |CALL Loader_u.00430315
0041230D |. 85F6 |TEST ESI,ESI
0041230F |.^ 74 EE |JE SHORT Loader_u.004122FF
00412311 |. 8B06 |MOV EAX,DWORD PTR DS:[ESI]
00412313 |. 6A 01 |PUSH 1
00412315 |. 8BCE |MOV ECX,ESI
00412317 |. FF10 |CALL DWORD PTR DS:[EAX]
00412319 |.^ EB E4 \JMP SHORT Loader_u.004122FF
0041231B |> 6A 0B PUSH 0B
0041231D |. E8 27E90100 CALL Loader_u.00430C49
00412322 |. 5F POP EDI
00412323 |. 5E POP ESI
00412324 \. C3 RETN
00412325 > $- E9 238A2100 JMP Loader_u.0062AD4D ===>停在这里 ; (initial cpu selection)
0041232A 0F DB 0F
0041232B 84 DB 84
0041232C F4 DB F4
0041232D D0 DB D0
0041232E 21 DB 21 ; CHAR '!'
0041232F 00 DB 00
00412330 .- E9 CBEC1E00 JMP Loader_u.00601000
00412335 . 65:FE0B DEC BYTE PTR GS:[EBX]
00412338 . B4 30 MOV AH,30
0041233A . 50 PUSH EAX
0041233B . 64:8925 00000>MOV DWORD PTR FS:[0],ESP
00412342 . 83EC 58 SUB ESP,58
00412345 . 53 PUSH EBX
00412346 . 56 PUSH ESI
00412347 . 57 PUSH EDI
00412348 . 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
0041234B . FF15 54524300 CALL DWORD PTR DS:[<&KERNEL32.GetVersion>; kernel32.GetVersion
00412351 . 33D2 XOR EDX,EDX
00412353 . 8AD4 MOV DL,AH
00412355 . 8915 DCB84400 MOV DWORD PTR DS:[44B8DC],EDX
0041235B . 8BC8 MOV ECX,EAX
0041235D . 81E1 FF000000 AND ECX,0FF
00412363 . 890D D8B84400 MOV DWORD PTR DS:[44B8D8],ECX
00412369 . C1E1 08 SHL ECX,8
0041236C . 03CA ADD ECX,EDX
0041236E . 890D D4B84400 MOV DWORD PTR DS:[44B8D4],ECX
00412374 . C1E8 10 SHR EAX,10
00412377 . A3 D0B84400 MOV DWORD PTR DS:[44B8D0],EAX
0041237C . 6A 01 PUSH 1
0041237E . E8 AA320000 CALL Loader_u.0041562D
不知道这个算脱壳成功没有????如果没有成功,需要怎么修复呢???
谢谢.......
但是我感觉到没有直接运行到:[<&KERNEL32.GetVersion>这里来..应该是没有脱完全...
请问要怎么做呢?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
