首页
社区
课程
招聘
[旧帖] 关于:EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h3) 0.00雪花
发表于: 2010-3-19 00:41 7521

[旧帖] 关于:EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h3) 0.00雪花

2010-3-19 00:41
7521
程式界面:



用脱壳机脱后:

Unpacker ExeCryptor 2.x.x. Version: 1.0 RC1 [Public Build]
ExeCryptor 2.x.x脱壳机  版本: 1.0 RC2

- - - - - - - - - - - - - - - - 设置信息 - - - - - - - - - - - - - - - - - - -

- 清除GetModuleHandleA指针
- 去除"Debugger Detected"消息
- 修补文件CRC校验
- 修补内存CRC校验
- 移除文件头中的垃圾
- 修正PE文件头的TLS
- 剪切区段
- 重建动态输入表:  允许
- 在Dump中修复IAT
- 查找VM OEP

- - - - - - - - - - - - - - 开始脱壳 - - - - - - - - - - - - - - - -

文件: D:\个人重要资料(勿删)\Administrator\桌面\Unpacker ExeCryptor RC2\kkk.exe
创建进程...  PID = 0x540 ... 完成
查找标志函数... 完成
加壳版本 >= 2.4.1.0
在函数中设置断点... 完成
解压缩区段 ".text" - 是
解压缩区段 ".text1" - 是
解压缩区段 "xefiitm6" - 是
解压缩区段 ".dat0" - 是
解压缩区段 "etpwyiux" - 是
设置附加代码区段的内存断点... 完成
等待...
修补文件CRC校验...完
测试!!! 内存和文件CRC 在 2.4.xx ( VA = 61BA4B) ... 完成
未发现内存CRC校验
保存映像... 完成
清除附加代码区段的内存断点... 完成
新TLS表: 0
移除PE文件头的垃圾代码... 完成
查找GetModuleHandleA的位置:
GetModuleHandle 的地址 [6000B4].
没找到指针
去除<Debugger Detected>消息 (方法 3): OK
IAT Start: 0x435000
IAT End:   0x4356C0
Check Import table for emulate API...Done -> Nothing
Fix IAT in Dump... 成功!
动态查找OEP: 12325 (Crypted code)

程序能正常启动.....但是用PDID查找还是什么也没有....

用OD加载后:


00412306  |.  8BCF          |MOV ECX,EDI
00412308  |.  E8 08E00100   |CALL Loader_u.00430315
0041230D  |.  85F6          |TEST ESI,ESI
0041230F  |.^ 74 EE         |JE SHORT Loader_u.004122FF
00412311  |.  8B06          |MOV EAX,DWORD PTR DS:[ESI]
00412313  |.  6A 01         |PUSH 1
00412315  |.  8BCE          |MOV ECX,ESI
00412317  |.  FF10          |CALL DWORD PTR DS:[EAX]
00412319  |.^ EB E4         \JMP SHORT Loader_u.004122FF
0041231B  |>  6A 0B         PUSH 0B
0041231D  |.  E8 27E90100   CALL Loader_u.00430C49
00412322  |.  5F            POP EDI
00412323  |.  5E            POP ESI
00412324  \.  C3            RETN
00412325 > $- E9 238A2100   JMP Loader_u.0062AD4D     ===>停在这里              ;  (initial cpu selection)
0041232A      0F            DB 0F
0041232B      84            DB 84
0041232C      F4            DB F4
0041232D      D0            DB D0
0041232E      21            DB 21                                    ;  CHAR '!'
0041232F      00            DB 00
00412330   .- E9 CBEC1E00   JMP Loader_u.00601000
00412335   .  65:FE0B       DEC BYTE PTR GS:[EBX]
00412338   .  B4 30         MOV AH,30
0041233A   .  50            PUSH EAX
0041233B   .  64:8925 00000>MOV DWORD PTR FS:[0],ESP
00412342   .  83EC 58       SUB ESP,58
00412345   .  53            PUSH EBX
00412346   .  56            PUSH ESI
00412347   .  57            PUSH EDI
00412348   .  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP
0041234B   .  FF15 54524300 CALL DWORD PTR DS:[<&KERNEL32.GetVersion>;  kernel32.GetVersion
00412351   .  33D2          XOR EDX,EDX
00412353   .  8AD4          MOV DL,AH
00412355   .  8915 DCB84400 MOV DWORD PTR DS:[44B8DC],EDX
0041235B   .  8BC8          MOV ECX,EAX
0041235D   .  81E1 FF000000 AND ECX,0FF
00412363   .  890D D8B84400 MOV DWORD PTR DS:[44B8D8],ECX
00412369   .  C1E1 08       SHL ECX,8
0041236C   .  03CA          ADD ECX,EDX
0041236E   .  890D D4B84400 MOV DWORD PTR DS:[44B8D4],ECX
00412374   .  C1E8 10       SHR EAX,10
00412377   .  A3 D0B84400   MOV DWORD PTR DS:[44B8D0],EAX
0041237C   .  6A 01         PUSH 1
0041237E   .  E8 AA320000   CALL Loader_u.0041562D

不知道这个算脱壳成功没有????如果没有成功,需要怎么修复呢???
谢谢.......


但是我感觉到没有直接运行到:[<&KERNEL32.GetVersion>这里来..应该是没有脱完全...
请问要怎么做呢?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 991
活跃值: (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
有人路过吗?????不要沉了...........
2010-3-19 01:35
0
雪    币: 46
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
只能帮你顶一把,我真的不懂!
2010-3-19 09:06
0
雪    币: 8233
活跃值: (2736)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
虽然unpack了,但是没有去VM
2010-3-19 11:20
0
雪    币: 991
活跃值: (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
要怎么去VM,请明示~~~~~
2010-3-19 18:26
0
雪    币: 991
活跃值: (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
option.....能不能详细说说啊....................
2010-3-19 22:23
0
雪    币: 8233
活跃值: (2736)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我也并不会,看有个教程上说的
2010-3-20 08:16
0
雪    币: 8341
活跃值: (3496)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
疑似BC++的程序,应该无壳了吧,你找个资源工具试试能编辑不
2010-3-20 08:46
0
雪    币: 991
活跃值: (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
可以改资源了啊~~~~但是正常的情况下,应该要执行版本号那里啊。。。。。
2010-3-21 00:32
0
雪    币: 991
活跃值: (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
神啊。。救救我吧,我没有地方可以问了呀。。。。。。。。。
2010-3-21 01:56
0
雪    币: 8233
活跃值: (2736)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
去tuts4you自己看教程吧,我能做的就这些了
2010-3-21 09:04
0
雪    币: 991
活跃值: (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
有蛮多人下了啊。。。。。能不能说说情况啊。。。。。。。
2010-3-24 21:31
0
游客
登录 | 注册 方可回帖
返回
//