首页
社区
课程
招聘
[原创][MSLRH]0.31脱壳法
发表于: 2005-2-23 17:43 10778

[原创][MSLRH]0.31脱壳法

2005-2-23 17:43
10778

00456000 > $ 60 PUSHAD ;***POEP****
00456001 . D1CB ROR EBX,1
00456003 . 0FCA BSWAP EDX
00456005 . C1CA E0 ROR EDX,0E0
00456008 . D1CA ROR EDX,1
0045600A . 0FC8 BSWAP EAX
0045600C . EB 01 JMP SHORT [MSLRH].0045600F
0045600E . F1 INT1
0045600F > 0FC0C9 XADD CL,CL

0046207E . 68 ADE29F00 PUSH 9FE2AD
00462083 . C3 RETN ;**** 改成int3 (cc)
00462084 33 DB 33 ; CHAR '3'
00462085 C9 DB C9
00462086 E8 DB E8
00462087 00 DB 00
00462088 00 DB 00
00462089 00 DB 00
0046208A 00 DB 00
0046208B 5F DB 5F ; CHAR '_'
0046208C 81 DB 81


00462083 CC INT3 ; 停在这里,改成retn
00462084 33C9 XOR ECX,ECX
00462086 E8 00000000 CALL [MSLRH].0046208B
0046208B 5F POP EDI
0046208C 81C7 C5090000 ADD EDI,9C5
00462092 33D2 XOR EDX,EDX
00462094 83C2 15 ADD EDX,15


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (16)
雪    币: 279
活跃值: (375)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
2
不错啊
通过即时调试器,跳过反跟踪,这处妙
2005-2-23 18:54
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
3
不错
2005-2-23 18:57
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
4
支持随
便请教一个问题。关于OD的Attach上其他里程后。我在OD中f9运行后,其相应的进程却仍处于无法响应状态,这是为什么呢,不知楼主当时在Attach上mslrh 0.31时,有没有遇到这种情况
2005-2-23 19:09
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
5
太妙了!!!
2005-2-23 19:16
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
反单步的花太单调了,会被捕获规律的。不加密IAT,anti dump、anti ImportREC有局限性,可以直接绕过去。偷代码不敢多演,特征码的静态模糊分析即可。
2005-2-23 19:40
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
7
最初由 clide2000 发布
支持随
便请教一个问题。关于OD的Attach上其他里程后。我在OD中f9运行后,其相应的进程却仍处于无法响应状态,这是为什么呢,不知楼主当时在Attach上mslrh 0.31时,有没有遇到这种情况

已经在运行了.Ctrl+g: 401000看看
2005-2-23 20:30
0
雪    币: 97697
活跃值: (200834)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
8
Authorship.I support.
2005-2-23 20:38
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
9
支持支持!
2005-2-23 22:23
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
10
最初由 peaceclub 发布

已经在运行了.Ctrl+g: 401000看看


我后来发现用procexp.exe里的,debug功能,自动调用OD,Attach上其进程就没有这种情况,而当我手动启动OD,通过OD里的Attach命令来实现时,就出现被Attach程序没有响应的问题了.还没有找到原因
2005-2-23 23:29
0
雪    币: 159
活跃值: (339)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
11
脱法清新脱俗,耳目一新...
2005-2-24 01:37
0
雪    币: 1913
活跃值: (15)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
12
试了下,脱了个出来。huh
2005-2-24 20:47
0
雪    币: 214
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
多谢!学习中
2005-2-24 23:36
0
雪    币: 303
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
最初由 peaceclub 发布
[工具]: Ollydbg,lordpe,imprec
[介绍]:(from jingulong)
1.它主要的手段是用RDTSC(时间差)来Anti trace
2.OutputDebugStringA+ZwQueryInformationProcess+IsDebuggerPresent
3.修改文件头anti dump
........

请教:
是基于什么原理决定“68????????c3 (push ???????? retn)”处下手,与RDTSC的特性有关系吗?
多谢
2005-2-27 12:40
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
15
呵呵,不错。方法另类,要的就是这个异想天开,褒义哦
2005-2-27 13:31
0
雪    币: 303
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
引用:
--------------------------------------------------------------------------------
最初由 peaceclub 发布
[工具]: Ollydbg,lordpe,imprec
[介绍]:(from jingulong)
1.它主要的手段是用RDTSC(时间差)来Anti trace
2.OutputDebugStringA+ZwQueryInformationProcess+IsDebuggerPresent
3.修改文件头anti dump
........
--------------------------------------------------------------------------------

请教:
是基于什么原理决定“68????????c3 (push ???????? retn)”处下手,与RDTSC的特性有关系吗?
多谢
2005-2-27 16:02
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
17
没多少原理,根据一点经验.
一般壳都会有long jump
比如upx的
popad
jmp .....
等,
那比较变形的形式有:
push oep
retn
所以我就搜索了68????????c3,果然碰上了.
一般利用rdtsc指令来反跟踪,与cpuid想结合,如果开始有pushad,后面都会有popad,中间有时间片检查,比如cmp eax,0ffffh等.
2005-2-27 16:21
0
游客
登录 | 注册 方可回帖
返回
//