[原创]yoda's Protector V1.03.3静态脱壳机(附源码)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]yoda's Protector V1.03.3静态脱壳机(附源码)

2010-7-19 15:48 102869

[原创]yoda's Protector V1.03.3静态脱壳机(附源码)

疯子

2010-7-19 15:48

102869

稀里糊涂过了一年,找了份工作.pe格式忘得差不多了.所以拿此壳来练手

给新手朋友们一点参考,希望大牛们多拍砖与指点.可能以后的工作会跟壳有关了

说下大概流程:
1.首先解密shell代码的两处加密,由于yp的加密方式有了一点小动态.所以采取了动态抠代码的方式来解密的.(直接用opcode比较效率高一些,人懒了点.带了个反汇编引擎.见谅)
2.对加密的节区进行三次解密.
3.如有资源节,则还原.并替换掉.x01节为.rsrc
4.还原IAT,将.yp节删掉
5.修复OEP,sizeofImage等等信息.
6.dump2file.

ps:写完后才发现此壳开源的

,有意向的朋友可看源码学习

Yoda's Protector v1.03.3主程序下载地址:
http://www.pediy.com/tools/PACK/Protectors/yodap/yp1.03.3.zip

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

上传的附件：

bin.rar （32.23kb，1086次下载）
src.rar （68.33kb，924次下载）

收藏・32

点赞・6

打赏

最新回复 (51) 1 2 3 ▶
奘和雪币： 4902 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 745 粉丝 0 关注私信	奘和 2010-7-19 16:02 2 楼 0 SRC收下鸟虽然是开源的但是看源码可以顺便学编程呵呵
hyperchem 雪币： 295 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 128 粉丝 1 关注私信	hyperchem 1 2010-7-20 07:33 3 楼 0 yoda shell中加密有随机化处理，要做静态脱壳机，就要自己手动解码了。。。加密函数是有模板的扣除关键数据自己应该可以的，楼主不妨试试看哦
littlewisp 雪币： 6306 活跃值： (2719) 能力值： ( LV13，RANK：283 ) 在线值：发帖 57 回帖 543 粉丝 12 关注私信	littlewisp 2 2010-7-20 08:55 4 楼 0 多谢楼主分享啊
clong 雪币： 213 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	clong 2010-7-20 18:19 5 楼 0 感谢楼主分享！下来学习一下。
疯子雪币： 2122 活跃值： (358) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 460 粉丝 7 关注私信	疯子 4 2010-7-22 09:28 6 楼 0 呐尼,我好像是这么做的阿
活个痛快雪币： 429 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 51 粉丝 0 关注私信	活个痛快 2010-7-22 09:39 7 楼 0 老汪的帖子是要顶的
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 19 关注私信	Lenus 3 2010-7-22 12:17 8 楼 0 好贴，留名！
creakerzgz 雪币： 62 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 230 粉丝 3 关注私信	creakerzgz 1 2010-7-23 20:26 9 楼 0 膜拜强大的老汪
加菲花猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	加菲花猫 2010-7-25 01:09 10 楼 0 好好学习，天天向上
cornera 雪币： 224 活跃值： (55) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	cornera 3 2010-9-1 16:54 11 楼 0 谢谢分享，学习之。
大星星雪币： 93 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	大星星 2010-12-6 23:17 12 楼 0 只有学习了！
LONGNOL 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	LONGNOL 2011-1-7 12:54 13 楼 0 看看学习一下
qwsk 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	qwsk 2011-3-14 16:18 14 楼 0 谢谢分享，学习之。
mimajieba 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mimajieba 2011-3-21 12:41 15 楼 0 学习一下啊啊
mimajieba 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mimajieba 2011-3-21 12:43 16 楼 0 谢谢啊啊太好
sdslcl 雪币： 735 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	sdslcl 2011-3-25 00:47 17 楼 0 不错，下来学习一下谢谢分享！！
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 145 粉丝 0 关注私信	cjteam 2011-3-25 22:22 18 楼 0 技术牛啊，呵呵
qwsk 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	qwsk 2011-3-30 22:50 19 楼 0 自己手动解码
昨夜风雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 0 关注私信	昨夜风 2011-4-2 20:13 20 楼 0 不错啊
梦之旅雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 53 粉丝 0 关注私信	梦之旅 2011-4-3 09:40 21 楼 0 正好用得上，谢谢了上传的附件： 1234.gif （21.90kb，94次下载）
重重雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	重重 2011-8-14 11:37 22 楼 0 留个记号~ 很强大
xScanf 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	xScanf 2012-5-24 15:40 23 楼 0 标记下，下次有时间看！
江南游子雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	江南游子 2012-6-1 13:47 24 楼 0 回帖支持下楼主
hustd 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hustd 2012-7-25 11:34 25 楼 0 你好，我想问个问题哈，这个源码在VC6.0运行ok，但是在VS2010中运行有问题。我分析了一下，问题在于 ////解密壳的数据段 if(CollectDecodeCode(pSecondDecodeAddr+0x816,pSecondDecodeAddr,0x67D)){//ybm CallDecode(); } 这一段中，VS里pSecondDecodeAddr指向的内存内容与与VC中是一样的，但是加上0x816之后，指向的内容就不一样了，也就是说在VC和VS中调用CollectDecodeCode函数时传入的第一个参数的值看起来是一样的，但是所指向的内容是不同的，因此VS中程序最终挂掉了，在这个判断句中直接返回false。我很想问的是，pSecondDecodeAddr指向的内存内容都是一样的，为什么加上一个偏移以后指向的就不一样了呢？难道，同一个文件在被装入内存后，对于VS和VC来说内存里的数据是不同的吗？万分感谢！！！！！！！！！ VC6.0中：pSecondDecodeAddr VS2010中pSecondDecodeAddr VC6.0中：pSecondDecodeAddr+0x816 VS2010中：pSecondDecodeAddr+0x816 出错语句：上传的附件：捕获.JPG （35.91kb，34次下载）捕获1.JPG （28.71kb，34次下载）捕获2.JPG （37.54kb，36次下载）捕获3.JPG （23.78kb，34次下载）捕获4.JPG （14.79kb，34次下载）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

疯子

发帖

460

回帖

200

RANK

关注

私信

他的文章

[讨论]冒个泡，注册十一周年了

[原创]fengyue.sys脱壳及vm还原

[原创]asprotect 2.3 vm 还原

[原创]yoda's Protector V1.03.3静态脱壳机(附源码)

[转帖]古诗词穿越对句

关于我们

联系我们

企业服务

看雪公众号

最新回复 (51) 1 2 3 ▶
奘和雪币： 4902 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 745 粉丝 0 关注私信	奘和 2010-7-19 16:02 2 楼 0 SRC收下鸟虽然是开源的但是看源码可以顺便学编程呵呵
hyperchem 雪币： 295 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 128 粉丝 1 关注私信	hyperchem 1 2010-7-20 07:33 3 楼 0 yoda shell中加密有随机化处理，要做静态脱壳机，就要自己手动解码了。。。加密函数是有模板的扣除关键数据自己应该可以的，楼主不妨试试看哦
littlewisp 雪币： 6306 活跃值： (2719) 能力值： ( LV13，RANK：283 ) 在线值：发帖 57 回帖 543 粉丝 12 关注私信	littlewisp 2 2010-7-20 08:55 4 楼 0 多谢楼主分享啊
clong 雪币： 213 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	clong 2010-7-20 18:19 5 楼 0 感谢楼主分享！下来学习一下。
疯子雪币： 2122 活跃值： (358) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 460 粉丝 7 关注私信	疯子 4 2010-7-22 09:28 6 楼 0 呐尼,我好像是这么做的阿
活个痛快雪币： 429 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 51 粉丝 0 关注私信	活个痛快 2010-7-22 09:39 7 楼 0 老汪的帖子是要顶的
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 19 关注私信	Lenus 3 2010-7-22 12:17 8 楼 0 好贴，留名！
creakerzgz 雪币： 62 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 230 粉丝 3 关注私信	creakerzgz 1 2010-7-23 20:26 9 楼 0 膜拜强大的老汪
加菲花猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	加菲花猫 2010-7-25 01:09 10 楼 0 好好学习，天天向上
cornera 雪币： 224 活跃值： (55) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	cornera 3 2010-9-1 16:54 11 楼 0 谢谢分享，学习之。
大星星雪币： 93 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	大星星 2010-12-6 23:17 12 楼 0 只有学习了！
LONGNOL 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	LONGNOL 2011-1-7 12:54 13 楼 0 看看学习一下
qwsk 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	qwsk 2011-3-14 16:18 14 楼 0 谢谢分享，学习之。
mimajieba 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mimajieba 2011-3-21 12:41 15 楼 0 学习一下啊啊
mimajieba 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mimajieba 2011-3-21 12:43 16 楼 0 谢谢啊啊太好
sdslcl 雪币： 735 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	sdslcl 2011-3-25 00:47 17 楼 0 不错，下来学习一下谢谢分享！！
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 145 粉丝 0 关注私信	cjteam 2011-3-25 22:22 18 楼 0 技术牛啊，呵呵
qwsk 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	qwsk 2011-3-30 22:50 19 楼 0 自己手动解码
昨夜风雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 0 关注私信	昨夜风 2011-4-2 20:13 20 楼 0 不错啊
梦之旅雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 53 粉丝 0 关注私信	梦之旅 2011-4-3 09:40 21 楼 0 正好用得上，谢谢了上传的附件： 1234.gif （21.90kb，94次下载）
重重雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	重重 2011-8-14 11:37 22 楼 0 留个记号~ 很强大
xScanf 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	xScanf 2012-5-24 15:40 23 楼 0 标记下，下次有时间看！
江南游子雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	江南游子 2012-6-1 13:47 24 楼 0 回帖支持下楼主
hustd 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hustd 2012-7-25 11:34 25 楼 0 你好，我想问个问题哈，这个源码在VC6.0运行ok，但是在VS2010中运行有问题。我分析了一下，问题在于 ////解密壳的数据段 if(CollectDecodeCode(pSecondDecodeAddr+0x816,pSecondDecodeAddr,0x67D)){//ybm CallDecode(); } 这一段中，VS里pSecondDecodeAddr指向的内存内容与与VC中是一样的，但是加上0x816之后，指向的内容就不一样了，也就是说在VC和VS中调用CollectDecodeCode函数时传入的第一个参数的值看起来是一样的，但是所指向的内容是不同的，因此VS中程序最终挂掉了，在这个判断句中直接返回false。我很想问的是，pSecondDecodeAddr指向的内存内容都是一样的，为什么加上一个偏移以后指向的就不一样了呢？难道，同一个文件在被装入内存后，对于VS和VC来说内存里的数据是不同的吗？万分感谢！！！！！！！！！ VC6.0中：pSecondDecodeAddr VS2010中pSecondDecodeAddr VC6.0中：pSecondDecodeAddr+0x816 VS2010中：pSecondDecodeAddr+0x816 出错语句：上传的附件：捕获.JPG （35.91kb，34次下载）捕获1.JPG （28.71kb，34次下载）捕获2.JPG （37.54kb，36次下载）捕获3.JPG （23.78kb，34次下载）捕获4.JPG （14.79kb，34次下载）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复