[原创][MSLRH]0.31脱壳法-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创][MSLRH]0.31脱壳法

发表于: 2005-2-23 17:43 10778

[原创][MSLRH]0.31脱壳法

peaceclub

2005-2-23 17:43

10778

00456000 > $ 60 PUSHAD ;***POEP****
00456001 . D1CB ROR EBX,1
00456003 . 0FCA BSWAP EDX
00456005 . C1CA E0 ROR EDX,0E0
00456008 . D1CA ROR EDX,1
0045600A . 0FC8 BSWAP EAX
0045600C . EB 01 JMP SHORT [MSLRH].0045600F
0045600E . F1 INT1
0045600F > 0FC0C9 XADD CL,CL

0046207E . 68 ADE29F00 PUSH 9FE2AD
00462083 . C3 RETN ;**** 改成int3 (cc)
00462084 33 DB 33 ; CHAR '3'
00462085 C9 DB C9
00462086 E8 DB E8
00462087 00 DB 00
00462088 00 DB 00
00462089 00 DB 00
0046208A 00 DB 00
0046208B 5F DB 5F ; CHAR '_'
0046208C 81 DB 81

00462083 CC INT3 ; 停在这里,改成retn
00462084 33C9 XOR ECX,ECX
00462086 E8 00000000 CALL [MSLRH].0046208B
0046208B 5F POP EDI
0046208C 81C7 C5090000 ADD EDI,9C5
00462092 33D2 XOR EDX,EDX
00462094 83C2 15 ADD EDX,15

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・7

支持

最新回复 (16)
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 2 楼不错啊通过即时调试器，跳过反跟踪，这处妙 2005-2-23 18:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼不错 2005-2-23 18:57 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 4 楼支持随便请教一个问题。关于OD的Attach上其他里程后。我在OD中f9运行后，其相应的进程却仍处于无法响应状态，这是为什么呢，不知楼主当时在Attach上mslrh 0.31时，有没有遇到这种情况 2005-2-23 19:09 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 5 楼太妙了!!! 2005-2-23 19:16 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 6 楼反单步的花太单调了，会被捕获规律的。不加密IAT，anti dump、anti ImportREC有局限性，可以直接绕过去。偷代码不敢多演，特征码的静态模糊分析即可。 2005-2-23 19:40 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 7 楼最初由 clide2000 发布支持随便请教一个问题。关于OD的Attach上其他里程后。我在OD中f9运行后，其相应的进程却仍处于无法响应状态，这是为什么呢，不知楼主当时在Attach上mslrh 0.31时，有没有遇到这种情况已经在运行了.Ctrl+g: 401000看看 2005-2-23 20:30 0
linhanshi 雪币： 97697 活跃值： (200834) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 8 楼 Authorship.I support. 2005-2-23 20:38 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 9 楼支持支持！ 2005-2-23 22:23 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 10 楼最初由 peaceclub 发布已经在运行了.Ctrl+g: 401000看看我后来发现用procexp.exe里的,debug功能,自动调用OD,Attach上其进程就没有这种情况,而当我手动启动OD,通过OD里的Attach命令来实现时,就出现被Attach程序没有响应的问题了.还没有找到原因 2005-2-23 23:29 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 11 楼脱法清新脱俗，耳目一新... 2005-2-24 01:37 0
Feisu 雪币： 1913 活跃值： (15) 能力值： (RANK：10 ) 在线值：发帖 24 回帖 144 粉丝 4 关注私信	Feisu 12 楼试了下，脱了个出来。huh 2005-2-24 20:47 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 13 楼多谢！学习中 2005-2-24 23:36 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 14 楼最初由 peaceclub 发布 [工具]: Ollydbg,lordpe,imprec [介绍]:(from jingulong) 1.它主要的手段是用RDTSC(时间差)来Anti trace 2.OutputDebugStringA+ZwQueryInformationProcess+IsDebuggerPresent 3.修改文件头anti dump ........ 请教：是基于什么原理决定“68????????c3 (push ???????? retn)”处下手，与RDTSC的特性有关系吗？多谢 2005-2-27 12:40 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 15 楼呵呵，不错。方法另类，要的就是这个异想天开，褒义哦 2005-2-27 13:31 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 16 楼引用: -------------------------------------------------------------------------------- 最初由 peaceclub 发布 [工具]: Ollydbg,lordpe,imprec [介绍]:(from jingulong) 1.它主要的手段是用RDTSC(时间差)来Anti trace 2.OutputDebugStringA+ZwQueryInformationProcess+IsDebuggerPresent 3.修改文件头anti dump ........ -------------------------------------------------------------------------------- 请教：是基于什么原理决定“68????????c3 (push ???????? retn)”处下手，与RDTSC的特性有关系吗？多谢 2005-2-27 16:02 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼没多少原理，根据一点经验. 一般壳都会有long jump 比如upx的 popad jmp ..... 等, 那比较变形的形式有: push oep retn 所以我就搜索了68????????c3,果然碰上了. 一般利用rdtsc指令来反跟踪,与cpuid想结合,如果开始有pushad,后面都会有popad,中间有时间片检查,比如cmp eax,0ffffh等. 2005-2-27 16:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

peaceclub

发帖

967

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
lordor 雪币： 279 活跃值： (375) 能力值： ( LV9，RANK：250 ) 在线值：发帖 12 回帖 239 粉丝 1 关注私信	lordor 6 2 楼不错啊通过即时调试器，跳过反跟踪，这处妙 2005-2-23 18:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼不错 2005-2-23 18:57 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 4 楼支持随便请教一个问题。关于OD的Attach上其他里程后。我在OD中f9运行后，其相应的进程却仍处于无法响应状态，这是为什么呢，不知楼主当时在Attach上mslrh 0.31时，有没有遇到这种情况 2005-2-23 19:09 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 5 楼太妙了!!! 2005-2-23 19:16 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 6 楼反单步的花太单调了，会被捕获规律的。不加密IAT，anti dump、anti ImportREC有局限性，可以直接绕过去。偷代码不敢多演，特征码的静态模糊分析即可。 2005-2-23 19:40 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 7 楼最初由 clide2000 发布支持随便请教一个问题。关于OD的Attach上其他里程后。我在OD中f9运行后，其相应的进程却仍处于无法响应状态，这是为什么呢，不知楼主当时在Attach上mslrh 0.31时，有没有遇到这种情况已经在运行了.Ctrl+g: 401000看看 2005-2-23 20:30 0
linhanshi 雪币： 97697 活跃值： (200834) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 8 楼 Authorship.I support. 2005-2-23 20:38 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 9 楼支持支持！ 2005-2-23 22:23 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 10 楼最初由 peaceclub 发布已经在运行了.Ctrl+g: 401000看看我后来发现用procexp.exe里的,debug功能,自动调用OD,Attach上其进程就没有这种情况,而当我手动启动OD,通过OD里的Attach命令来实现时,就出现被Attach程序没有响应的问题了.还没有找到原因 2005-2-23 23:29 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 11 楼脱法清新脱俗，耳目一新... 2005-2-24 01:37 0
Feisu 雪币： 1913 活跃值： (15) 能力值： (RANK：10 ) 在线值：发帖 24 回帖 144 粉丝 4 关注私信	Feisu 12 楼试了下，脱了个出来。huh 2005-2-24 20:47 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 13 楼多谢！学习中 2005-2-24 23:36 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 14 楼最初由 peaceclub 发布 [工具]: Ollydbg,lordpe,imprec [介绍]:(from jingulong) 1.它主要的手段是用RDTSC(时间差)来Anti trace 2.OutputDebugStringA+ZwQueryInformationProcess+IsDebuggerPresent 3.修改文件头anti dump ........ 请教：是基于什么原理决定“68????????c3 (push ???????? retn)”处下手，与RDTSC的特性有关系吗？多谢 2005-2-27 12:40 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 15 楼呵呵，不错。方法另类，要的就是这个异想天开，褒义哦 2005-2-27 13:31 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 16 楼引用: -------------------------------------------------------------------------------- 最初由 peaceclub 发布 [工具]: Ollydbg,lordpe,imprec [介绍]:(from jingulong) 1.它主要的手段是用RDTSC(时间差)来Anti trace 2.OutputDebugStringA+ZwQueryInformationProcess+IsDebuggerPresent 3.修改文件头anti dump ........ -------------------------------------------------------------------------------- 请教：是基于什么原理决定“68????????c3 (push ???????? retn)”处下手，与RDTSC的特性有关系吗？多谢 2005-2-27 16:02 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼没多少原理，根据一点经验. 一般壳都会有long jump 比如upx的 popad jmp ..... 等, 那比较变形的形式有: push oep retn 所以我就搜索了68????????c3,果然碰上了. 一般利用rdtsc指令来反跟踪,与cpuid想结合,如果开始有pushad,后面都会有popad,中间有时间片检查,比如cmp eax,0ffffh等. 2005-2-27 16:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复