新壳测试 (记事本加壳)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

新壳测试 (记事本加壳)

发表于: 2004-5-24 01:40 13366

新壳测试 (记事本加壳)

vcasm

2004-5-24 01:40

13366

这些天终于把壳完善了放出来给大家练练手,希望大家脱壳后给些意见~

;)
点击下载：试试这个！

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・8

免费・6

支持

最新回复 (42) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼欢迎，置顶一周！希望早日能看到老兄的加壳主程序的发布 :D 不错的壳 2004-5-24 01:54 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 3 楼重多INT 3处理，N次自己调用自己。搞晕了。。。:( :( :( :( :( :( :( :( :( 2004-5-24 23:51 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 4 楼最初由 fly 发布欢迎，置顶一周！希望早日能看到老兄的加壳主程序的发布 :D 不错的壳感谢 fly 这个壳我还在不断更新呵呵里面很少用上目前的反调试手段,就是想为难现在的"高手"们 :) 2004-5-25 03:15 0
getplmm32 雪币： 210 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	getplmm32 5 楼代码全是态生成，就连眼前的代码还要分析，因此很烦，我一直跟着popad走，实在走得没劲了，就放弃了！ 2004-5-25 15:05 0
Pe_Patch 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	Pe_Patch 6 楼脱了一个不能跨平台的:o 不想在这上面耗时间了，仔细分析应该可以完美还原。 2004-5-26 11:03 0
kernels 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	kernels 7 楼 Pe_Patch写个教程吧. 2004-5-27 13:31 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 8 楼 Pe_Patch 兄写个脱壳教程吧说实话,我写的东西都是自己先能对付自己就觉得ok了,脱壳我的技术并不好,不过最近很想放些精力多向各位学习 2004-5-30 23:56 0
sinker 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	sinker 9 楼表说这壳的名字就叫VCasm;) 2004-6-1 15:49 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼好夸张的块变形…… 代码这么长，受不了~~ 2004-6-1 17:42 0
peiyihua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	peiyihua 11 楼 1,BP GetVersion 77E5D142 > 64:A1 18000000 MOV EAX,DWORD PTR FS:[18] 77E5D148 8B48 30 MOV ECX,DWORD PTR DS:[EAX+30] 77E5D14B 8B81 B0000000 MOV EAX,DWORD PTR DS:[ECX+B0] 77E5D151 0FB791 AC000000 MOVZX EDX,WORD PTR DS:[ECX+AC] 77E5D158 83F0 FE XOR EAX,FFFFFFFE 77E5D15B C1E0 0E SHL EAX,0E 77E5D15E 0BC2 OR EAX,EDX 77E5D160 C1E0 08 SHL EAX,8 77E5D163 0B81 A8000000 OR EAX,DWORD PTR DS:[ECX+A8] 77E5D169 C1E0 08 SHL EAX,8 77E5D16C 0B81 A4000000 OR EAX,DWORD PTR DS:[ECX+A4] 77E5D172 C3 RETN ------> 2, 0042BABF FF70 04 PUSH DWORD PTR DS:[EAX+4] 0042BAC2 FF55 E8 CALL DWORD PTR SS:[EBP-18] 0042BAC5 C3 RETN 0042BAC6 58 POP EAX 0042BAC7 8945 94 MOV DWORD PTR SS:[EBP-6C],EAX 0042BACA FF55 E4 CALL DWORD PTR SS:[EBP-1C]--->GetVersion 0042BACD C1E8 1F SHR EAX,1F 0042BAD0 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 0042BAD3 FF55 E0 CALL DWORD PTR SS:[EBP-20] --->GetCommandLineA 0042BAD6 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 0042BAD9 8D85 D4FEFFFF LEA EAX,DWORD PTR SS:[EBP-12C] 0042BADF 50 PUSH EAX 0042BAE0 FF95 24FFFFFF CALL DWORD PTR SS:[EBP-DC] 0042BAE6 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 3,往上看, 0042B881 ^\75 F4 JNZ SHORT 样本测试.0042B877 0042B883 61 POPAD OEP:[2B884] DUMP it <<<<++++++++++++++++++++ 0042B884 55 PUSH EBP 0042B885 8BEC MOV EBP,ESP 0042B887 81EC 2C010000 SUB ESP,12C 0042B88D 53 PUSH EBX 0042B88E 56 PUSH ESI 0042B88F 57 PUSH EDI 0042B890 C785 40FFFFFF 9>MOV DWORD PTR SS:[EBP-C0],16D559C 0042B89A C785 44FFFFFF 9>MOV DWORD PTR SS:[EBP-BC],16D5590 0042B8A4 C785 48FFFFFF 9>MOV DWORD PTR SS:[EBP-B8],16D5594 0042B8AE C785 4CFFFFFF 8>MOV DWORD PTR SS:[EBP-B4],16D5588 0042B8B8 C785 50FFFFFF 8>MOV DWORD PTR SS:[EBP-B0],16D558C 0042B8C2 C785 54FFFFFF 8>MOV DWORD PTR SS:[EBP-AC],16D5580 0042B8CC C785 58FFFFFF 8>MOV DWORD PTR SS:[EBP-A8],16D5584 0042B8D6 C785 5CFFFFFF B>MOV DWORD PTR SS:[EBP-A4],16D55B8 0042B8E0 C785 60FFFFFF B>MOV DWORD PTR SS:[EBP-A0],16D55BC 0042B8EA C785 64FFFFFF D>MOV DWORD PTR SS:[EBP-9C],16D55D0 0042B8F4 C785 68FFFFFF 1>MOV DWORD PTR SS:[EBP-98],16D5418 0042B8FE C785 6CFFFFFF 1>MOV DWORD PTR SS:[EBP-94],16D541C 0042B908 C785 70FFFFFF 1>MOV DWORD PTR SS:[EBP-90],16D5410 0042B912 C785 74FFFFFF 1>MOV DWORD PTR SS:[EBP-8C],16D5414 0042B91C C785 78FFFFFF 0>MOV DWORD PTR SS:[EBP-88],16D5408 0042B926 C785 7CFFFFFF 0>MOV DWORD PTR SS:[EBP-84],16D540C 0042B930 C745 80 00546D0>MOV DWORD PTR SS:[EBP-80],16D5400 0042B937 C745 84 9A516D0>MOV DWORD PTR SS:[EBP-7C],16D519A 0042B93E C745 88 18F52D0>MOV DWORD PTR SS:[EBP-78],12DF518 附脱壳文件! 点击下载：附件！ 2004-6-3 12:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼脱壳文件无法运行平台：WinXP 2004-6-3 13:59 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 13 楼提示一点：这个壳有2层 peiyihua你的结果仅仅脱了外面那层简单的进度提示的壳 2004-6-3 15:10 0
peiyihua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	peiyihua 14 楼是只脱了一层（脱了分段解密），第二层全是INT3. 是在XP下脱的，能运行！ 2004-6-4 07:55 0
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 15 楼 :p 看看这个能不能运行. 2004-6-4 12:50 0
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 16 楼点击下载：附件！前面没上传附件. :o 2004-6-4 12:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 17 楼最初由 jwh51 发布点击下载：附件！前面没上传附件. :o 牛写个过程呀 :D 2004-6-4 13:04 0
peiyihua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	peiyihua 18 楼 JWH51:请写个过程让伙学学！ 2004-6-4 15:10 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 19 楼 :D :D :D 2004-6-6 19:26 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 20 楼靠,IAT到底有多少层?写了个script转了3圈还是加密的. 2004-6-6 20:20 0
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 21 楼初学脱“衣服”，不是很懂，支持一下，先！！ 2004-6-6 20:33 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 22 楼 7层.....之后还有另一种, 真浪费内存:o 2004-6-6 20:41 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 23 楼 VCASM_IAT_DECRYPTOR mov ebx, 7 cld ok: mov esi, IAT_VA mov ecx, IAT_Size shr ecx, 2 mov edi, esi pushad pal: lodsd test eax, eax jz skip add eax, 4 mov edx, [eax] add eax, 0Ah xor edx, [eax] add eax, 0Ah add edx, [eax] mov eax, edx skip: stosd loop pal dec ebx jnz ok popad pal2: lodsd test eax, eax jz skipp inc eax inc eax mov eax, [eax] skipp: stosd loop pal2:D 手工修复几个准SDK函数,IAT如下: ; Syntax for each function in a thunk (the separator is a TAB) ; ------------------------------------------------------------ ; Flag RVA ModuleName Ordinal Name ; ; Details for <Valid> parameter: ; ------------------------------ ; Flag: 0 = valid: no -> - Name contains the address of the redirected API (you can set ; it to zero if you edit it). ; - Ordinal is not considered but you should let '0000' as value. ; - ModuleName is not considered but you should let '?' as value. ; ; 1 = valid: yes -> All next parameters on the line will be considered. ; Function imported by ordinal must have no name (the 4th TAB must ; be there though). ; ; 2 = Equivalent to 0 but it is for the loader. ; ; 3 = Equivalent to 1 but it is for the loader. ; ; 4 = Equivalent to 0 with (R) tag. ; ; 5 = Equivalent to 1 with (R) tag. ; ; And finally, edit this file as your own risk! :-) Target: E:\Documents and Settings\Star\桌面\样本测试.exe OEP: 000010CC IATRVA: 000062F8 IATSize: 00000230 FThunk: 000062FC NbFunc: 00000017 1 000062FC gdi32.dll 0196 GetObjectA 1 00006300 gdi32.dll 016C GetDeviceCaps 1 00006304 gdi32.dll 003B CreateFontIndirectA 1 00006308 gdi32.dll 020F SelectObject 1 0000630C gdi32.dll 0001 AbortDoc 1 00006310 gdi32.dll 0097 EndDoc 1 00006314 gdi32.dll 008D DeleteDC 1 00006318 gdi32.dll 0249 StartPage 1 0000631C gdi32.dll 0246 StartDocA 1 00006320 gdi32.dll 0099 EndPage 1 00006324 gdi32.dll 01B7 GetTextExtentPointA 1 00006328 gdi32.dll 003A CreateFontA 1 0000632C gdi32.dll 0211 SetAbortProc 1 00006330 gdi32.dll 0217 SetBkMode 1 00006334 gdi32.dll 022C SetMapMode 1 00006338 gdi32.dll 01BD GetTextMetricsA 1 0000633C gdi32.dll 0243 SetWindowExtEx 1 00006340 gdi32.dll 023F SetViewportExtEx 1 00006344 gdi32.dll 01CC LPtoDP 1 00006348 gdi32.dll 002F CreateDCA 1 0000634C gdi32.dll 01AE GetTextCharset 1 00006350 gdi32.dll 0090 DeleteObject 1 00006354 gdi32.dll 01A6 GetStockObject FThunk: 0000635C NbFunc: 00000026 1 0000635C kernel32.dll 0396 _hwrite 1 00006360 kernel32.dll 007D DeleteFileA 1 00006364 kernel32.dll 0397 _lclose 1 00006368 kernel32.dll 039A _lopen 1 0000636C kernel32.dll 024B LocalUnlock 1 00006370 kernel32.dll 0398 _lcreat 1 00006374 kernel32.dll 0399 _llseek 1 00006378 kernel32.dll 0248 LocalReAlloc 1 0000637C kernel32.dll 0241 LocalAlloc 1 00006380 kernel32.dll 0247 LocalLock 1 00006384 kernel32.dll 01E4 GlobalAlloc 1 00006388 kernel32.dll 0164 GetLocalTime 1 0000638C kernel32.dll 01CC GetTimeFormatA 1 00006390 kernel32.dll 0139 GetDateFormatA 1 00006394 kernel32.dll 03A3 lstrcmpi 1 00006398 kernel32.dll 01A6 GetStartupInfoA 1 0000639C kernel32.dll 016F GetModuleHandleA 1 000063A0 kernel32.dll 00B0 ExitProcess 1 000063A4 kernel32.dll 03AC lstrlen 1 000063A8 kernel32.dll 03A9 lstrcpyn 1 000063AC kernel32.dll 02BD RtlMoveMemory 1 000063B0 kernel32.dll 03A0 lstrcmp 1 000063B4 kernel32.dll 0222 IsDBCSLeadByte 1 000063B8 kernel32.dll 01A1 GetProfileStringA 1 000063BC kernel32.dll 039D lstrcat 1 000063C0 kernel32.dll 00CA FindFirstFileA 1 000063C4 kernel32.dll 00C6 FindClose 1 000063C8 kernel32.dll 025D MulDiv 1 000063CC kernel32.dll 0162 GetLastError 1 000063D0 kernel32.dll 004E CreateFileA 1 000063D4 kernel32.dll 01EB GlobalFree 1 000063D8 kernel32.dll 03A6 lstrcpy 1 000063DC kernel32.dll 0165 GetLocaleInfoA 1 000063E0 kernel32.dll 0245 LocalFree 1 000063E4 kernel32.dll 0103 GetCommandLineA 1 000063E8 kernel32.dll 01F6 GlobalUnlock 1 000063EC kernel32.dll 0395 _hread 1 000063F0 kernel32.dll 01EF GlobalLock FThunk: 000063F8 NbFunc: 00000006 1 000063F8 shell32.dll 008B DragFinish 1 000063FC shell32.dll 0162 ShellAboutA 1 00006400 shell32.dll 0167 ShellExecuteA 1 00006404 shell32.dll 008A DragAcceptFiles 1 00006408 shell32.dll 013D SHGetSpecialFolderPathA 1 0000640C shell32.dll 008C DragQueryFile FThunk: 00006414 NbFunc: 0000003C 1 00006414 user32.dll 02D9 wsprintfA 1 00006418 user32.dll 0043 CloseClipboard 1 0000641C user32.dll 01A0 IsClipboardFormatAvailable 1 00006420 user32.dll 01F4 OpenClipboard 1 00006424 user32.dll 012D GetMenu 1 00006428 user32.dll 01C9 LoadStringA 1 0000642C user32.dll 01B4 LoadAcceleratorsA 1 00006430 user32.dll 015D GetSystemMenu 1 00006434 user32.dll 021B RegisterClipboardFormatA 1 00006438 user32.dll 0281 SetWindowLongA 1 0000643C user32.dll 0061 CreateWindowExA 1 00006440 user32.dll 01B8 LoadCursorA 1 00006444 user32.dll 0218 RegisterClassExA 1 00006448 user32.dll 015E GetSystemMetrics 1 0000644C user32.dll 02BC UpdateWindow 1 00006450 user32.dll 002E CharPrevA 1 00006454 user32.dll 0100 GetClientRect 1 00006458 user32.dll 01FE PeekMessageA 1 0000645C user32.dll 0254 SetDlgItemTextA 1 00006460 user32.dll 029C TabbedTextOutA 1 00006464 user32.dll 0056 CreateDialogParamA 1 00006468 user32.dll 00C5 EnableWindow 1 0000646C user32.dll 0178 GetWindowTextA 1 00006470 user32.dll 0237 SendDlgItemMessageA 1 00006474 user32.dll 0111 GetDlgCtrlID 1 00006478 user32.dll 003D ChildWindowFromPoint 1 0000647C user32.dll 0232 ScreenToClient 1 00006480 user32.dll 010C GetCursorPos 1 00006484 user32.dll 0114 GetDlgItemTextA 1 00006488 user32.dll 015A GetSubMenu 1 0000648C user32.dll 003A CheckMenuItem 1 00006490 user32.dll 0287 SetWindowTextA 1 00006494 user32.dll 01A1 IsDialogMessage 1 00006498 user32.dll 02AB TranslateMessage 1 0000649C user32.dll 00A2 DispatchMessageA 1 000064A0 user32.dll 013B GetMessageA 1 000064A4 user32.dll 009A DestroyWindow 1 000064A8 user32.dll 01DC MessageBeep 1 000064AC user32.dll 01DD MessageBoxA 1 000064B0 user32.dll 008F DefWindowProcA 1 000064B4 user32.dll 00C3 EnableMenuItem 1 000064B8 user32.dll 0129 GetLastActivePopup 1 000064BC user32.dll 0293 ShowWindow 1 000064C0 user32.dll 00C7 EndDialog 1 000064C4 user32.dll 0258 SetForegroundWindow 1 000064C8 user32.dll 02D3 WinHelpA 1 000064CC user32.dll 01BC LoadIconA 1 000064D0 user32.dll 010D GetDC 1 000064D4 user32.dll 022B ReleaseDC 1 000064D8 user32.dll 024E SetCursor 1 000064DC user32.dll 023C SendMessageA 1 000064E0 user32.dll 0117 GetFocus 1 000064E4 user32.dll 0200 PostMessageA 1 000064E8 user32.dll 0257 SetFocus 1 000064EC user32.dll 0194 InvalidateRect 1 000064F0 user32.dll 01EA MoveWindow 1 000064F4 user32.dll 002B CharNextA 1 000064F8 user32.dll 01A7 IsIconic 1 000064FC user32.dll 0202 PostQuitMessage 1 00006500 user32.dll 02A7 TranslateAccelerator FThunk: 00006508 NbFunc: 00000007 1 00006508 comdlg32.dll 006E GetOpenFileNameA 1 0000650C comdlg32.dll 0067 ChooseFontA 1 00006510 comdlg32.dll 006A FindTextA 1 00006514 comdlg32.dll 0073 PageSetupDlgA 1 00006518 comdlg32.dll 0070 GetSaveFileNameA 1 0000651C comdlg32.dll 0069 CommDlgExtendedError 1 00006520 comdlg32.dll 006C GetFileTitleA 2004-6-6 21:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 24 楼 Oh...call xxxx也是这么还原的,不多说了.. anti_dump够黑,失败了n次才去看了一下,原来是no_access 佩服作者浪费内存的胆量、烦人的层数、阴险的招数、扎实的技术！ PFPF!!1:D 2004-6-6 21:50 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 25 楼这个壳暂时不更新了,先把那个辅助工具做好让大家能用,以后再慢慢琢磨新的算法估计下个壳里面我应该会把4个进程相互修改eip的模块加入 2004-6-6 22:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

vcasm

发帖

360

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼欢迎，置顶一周！希望早日能看到老兄的加壳主程序的发布 :D 不错的壳 2004-5-24 01:54 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 3 楼重多INT 3处理，N次自己调用自己。搞晕了。。。:( :( :( :( :( :( :( :( :( 2004-5-24 23:51 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 4 楼最初由 fly 发布欢迎，置顶一周！希望早日能看到老兄的加壳主程序的发布 :D 不错的壳感谢 fly 这个壳我还在不断更新呵呵里面很少用上目前的反调试手段,就是想为难现在的"高手"们 :) 2004-5-25 03:15 0
getplmm32 雪币： 210 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	getplmm32 5 楼代码全是态生成，就连眼前的代码还要分析，因此很烦，我一直跟着popad走，实在走得没劲了，就放弃了！ 2004-5-25 15:05 0
Pe_Patch 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	Pe_Patch 6 楼脱了一个不能跨平台的:o 不想在这上面耗时间了，仔细分析应该可以完美还原。 2004-5-26 11:03 0
kernels 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	kernels 7 楼 Pe_Patch写个教程吧. 2004-5-27 13:31 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 8 楼 Pe_Patch 兄写个脱壳教程吧说实话,我写的东西都是自己先能对付自己就觉得ok了,脱壳我的技术并不好,不过最近很想放些精力多向各位学习 2004-5-30 23:56 0
sinker 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	sinker 9 楼表说这壳的名字就叫VCasm;) 2004-6-1 15:49 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼好夸张的块变形…… 代码这么长，受不了~~ 2004-6-1 17:42 0
peiyihua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	peiyihua 11 楼 1,BP GetVersion 77E5D142 > 64:A1 18000000 MOV EAX,DWORD PTR FS:[18] 77E5D148 8B48 30 MOV ECX,DWORD PTR DS:[EAX+30] 77E5D14B 8B81 B0000000 MOV EAX,DWORD PTR DS:[ECX+B0] 77E5D151 0FB791 AC000000 MOVZX EDX,WORD PTR DS:[ECX+AC] 77E5D158 83F0 FE XOR EAX,FFFFFFFE 77E5D15B C1E0 0E SHL EAX,0E 77E5D15E 0BC2 OR EAX,EDX 77E5D160 C1E0 08 SHL EAX,8 77E5D163 0B81 A8000000 OR EAX,DWORD PTR DS:[ECX+A8] 77E5D169 C1E0 08 SHL EAX,8 77E5D16C 0B81 A4000000 OR EAX,DWORD PTR DS:[ECX+A4] 77E5D172 C3 RETN ------> 2, 0042BABF FF70 04 PUSH DWORD PTR DS:[EAX+4] 0042BAC2 FF55 E8 CALL DWORD PTR SS:[EBP-18] 0042BAC5 C3 RETN 0042BAC6 58 POP EAX 0042BAC7 8945 94 MOV DWORD PTR SS:[EBP-6C],EAX 0042BACA FF55 E4 CALL DWORD PTR SS:[EBP-1C]--->GetVersion 0042BACD C1E8 1F SHR EAX,1F 0042BAD0 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 0042BAD3 FF55 E0 CALL DWORD PTR SS:[EBP-20] --->GetCommandLineA 0042BAD6 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 0042BAD9 8D85 D4FEFFFF LEA EAX,DWORD PTR SS:[EBP-12C] 0042BADF 50 PUSH EAX 0042BAE0 FF95 24FFFFFF CALL DWORD PTR SS:[EBP-DC] 0042BAE6 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 3,往上看, 0042B881 ^\75 F4 JNZ SHORT 样本测试.0042B877 0042B883 61 POPAD OEP:[2B884] DUMP it <<<<++++++++++++++++++++ 0042B884 55 PUSH EBP 0042B885 8BEC MOV EBP,ESP 0042B887 81EC 2C010000 SUB ESP,12C 0042B88D 53 PUSH EBX 0042B88E 56 PUSH ESI 0042B88F 57 PUSH EDI 0042B890 C785 40FFFFFF 9>MOV DWORD PTR SS:[EBP-C0],16D559C 0042B89A C785 44FFFFFF 9>MOV DWORD PTR SS:[EBP-BC],16D5590 0042B8A4 C785 48FFFFFF 9>MOV DWORD PTR SS:[EBP-B8],16D5594 0042B8AE C785 4CFFFFFF 8>MOV DWORD PTR SS:[EBP-B4],16D5588 0042B8B8 C785 50FFFFFF 8>MOV DWORD PTR SS:[EBP-B0],16D558C 0042B8C2 C785 54FFFFFF 8>MOV DWORD PTR SS:[EBP-AC],16D5580 0042B8CC C785 58FFFFFF 8>MOV DWORD PTR SS:[EBP-A8],16D5584 0042B8D6 C785 5CFFFFFF B>MOV DWORD PTR SS:[EBP-A4],16D55B8 0042B8E0 C785 60FFFFFF B>MOV DWORD PTR SS:[EBP-A0],16D55BC 0042B8EA C785 64FFFFFF D>MOV DWORD PTR SS:[EBP-9C],16D55D0 0042B8F4 C785 68FFFFFF 1>MOV DWORD PTR SS:[EBP-98],16D5418 0042B8FE C785 6CFFFFFF 1>MOV DWORD PTR SS:[EBP-94],16D541C 0042B908 C785 70FFFFFF 1>MOV DWORD PTR SS:[EBP-90],16D5410 0042B912 C785 74FFFFFF 1>MOV DWORD PTR SS:[EBP-8C],16D5414 0042B91C C785 78FFFFFF 0>MOV DWORD PTR SS:[EBP-88],16D5408 0042B926 C785 7CFFFFFF 0>MOV DWORD PTR SS:[EBP-84],16D540C 0042B930 C745 80 00546D0>MOV DWORD PTR SS:[EBP-80],16D5400 0042B937 C745 84 9A516D0>MOV DWORD PTR SS:[EBP-7C],16D519A 0042B93E C745 88 18F52D0>MOV DWORD PTR SS:[EBP-78],12DF518 附脱壳文件! 点击下载：附件！ 2004-6-3 12:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼脱壳文件无法运行平台：WinXP 2004-6-3 13:59 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 13 楼提示一点：这个壳有2层 peiyihua你的结果仅仅脱了外面那层简单的进度提示的壳 2004-6-3 15:10 0
peiyihua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	peiyihua 14 楼是只脱了一层（脱了分段解密），第二层全是INT3. 是在XP下脱的，能运行！ 2004-6-4 07:55 0
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 15 楼 :p 看看这个能不能运行. 2004-6-4 12:50 0
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 16 楼点击下载：附件！前面没上传附件. :o 2004-6-4 12:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 17 楼最初由 jwh51 发布点击下载：附件！前面没上传附件. :o 牛写个过程呀 :D 2004-6-4 13:04 0
peiyihua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	peiyihua 18 楼 JWH51:请写个过程让伙学学！ 2004-6-4 15:10 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 19 楼 :D :D :D 2004-6-6 19:26 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 20 楼靠,IAT到底有多少层?写了个script转了3圈还是加密的. 2004-6-6 20:20 0
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 21 楼初学脱“衣服”，不是很懂，支持一下，先！！ 2004-6-6 20:33 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 22 楼 7层.....之后还有另一种, 真浪费内存:o 2004-6-6 20:41 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 23 楼 VCASM_IAT_DECRYPTOR mov ebx, 7 cld ok: mov esi, IAT_VA mov ecx, IAT_Size shr ecx, 2 mov edi, esi pushad pal: lodsd test eax, eax jz skip add eax, 4 mov edx, [eax] add eax, 0Ah xor edx, [eax] add eax, 0Ah add edx, [eax] mov eax, edx skip: stosd loop pal dec ebx jnz ok popad pal2: lodsd test eax, eax jz skipp inc eax inc eax mov eax, [eax] skipp: stosd loop pal2:D 手工修复几个准SDK函数,IAT如下: ; Syntax for each function in a thunk (the separator is a TAB) ; ------------------------------------------------------------ ; Flag RVA ModuleName Ordinal Name ; ; Details for <Valid> parameter: ; ------------------------------ ; Flag: 0 = valid: no -> - Name contains the address of the redirected API (you can set ; it to zero if you edit it). ; - Ordinal is not considered but you should let '0000' as value. ; - ModuleName is not considered but you should let '?' as value. ; ; 1 = valid: yes -> All next parameters on the line will be considered. ; Function imported by ordinal must have no name (the 4th TAB must ; be there though). ; ; 2 = Equivalent to 0 but it is for the loader. ; ; 3 = Equivalent to 1 but it is for the loader. ; ; 4 = Equivalent to 0 with (R) tag. ; ; 5 = Equivalent to 1 with (R) tag. ; ; And finally, edit this file as your own risk! :-) Target: E:\Documents and Settings\Star\桌面\样本测试.exe OEP: 000010CC IATRVA: 000062F8 IATSize: 00000230 FThunk: 000062FC NbFunc: 00000017 1 000062FC gdi32.dll 0196 GetObjectA 1 00006300 gdi32.dll 016C GetDeviceCaps 1 00006304 gdi32.dll 003B CreateFontIndirectA 1 00006308 gdi32.dll 020F SelectObject 1 0000630C gdi32.dll 0001 AbortDoc 1 00006310 gdi32.dll 0097 EndDoc 1 00006314 gdi32.dll 008D DeleteDC 1 00006318 gdi32.dll 0249 StartPage 1 0000631C gdi32.dll 0246 StartDocA 1 00006320 gdi32.dll 0099 EndPage 1 00006324 gdi32.dll 01B7 GetTextExtentPointA 1 00006328 gdi32.dll 003A CreateFontA 1 0000632C gdi32.dll 0211 SetAbortProc 1 00006330 gdi32.dll 0217 SetBkMode 1 00006334 gdi32.dll 022C SetMapMode 1 00006338 gdi32.dll 01BD GetTextMetricsA 1 0000633C gdi32.dll 0243 SetWindowExtEx 1 00006340 gdi32.dll 023F SetViewportExtEx 1 00006344 gdi32.dll 01CC LPtoDP 1 00006348 gdi32.dll 002F CreateDCA 1 0000634C gdi32.dll 01AE GetTextCharset 1 00006350 gdi32.dll 0090 DeleteObject 1 00006354 gdi32.dll 01A6 GetStockObject FThunk: 0000635C NbFunc: 00000026 1 0000635C kernel32.dll 0396 _hwrite 1 00006360 kernel32.dll 007D DeleteFileA 1 00006364 kernel32.dll 0397 _lclose 1 00006368 kernel32.dll 039A _lopen 1 0000636C kernel32.dll 024B LocalUnlock 1 00006370 kernel32.dll 0398 _lcreat 1 00006374 kernel32.dll 0399 _llseek 1 00006378 kernel32.dll 0248 LocalReAlloc 1 0000637C kernel32.dll 0241 LocalAlloc 1 00006380 kernel32.dll 0247 LocalLock 1 00006384 kernel32.dll 01E4 GlobalAlloc 1 00006388 kernel32.dll 0164 GetLocalTime 1 0000638C kernel32.dll 01CC GetTimeFormatA 1 00006390 kernel32.dll 0139 GetDateFormatA 1 00006394 kernel32.dll 03A3 lstrcmpi 1 00006398 kernel32.dll 01A6 GetStartupInfoA 1 0000639C kernel32.dll 016F GetModuleHandleA 1 000063A0 kernel32.dll 00B0 ExitProcess 1 000063A4 kernel32.dll 03AC lstrlen 1 000063A8 kernel32.dll 03A9 lstrcpyn 1 000063AC kernel32.dll 02BD RtlMoveMemory 1 000063B0 kernel32.dll 03A0 lstrcmp 1 000063B4 kernel32.dll 0222 IsDBCSLeadByte 1 000063B8 kernel32.dll 01A1 GetProfileStringA 1 000063BC kernel32.dll 039D lstrcat 1 000063C0 kernel32.dll 00CA FindFirstFileA 1 000063C4 kernel32.dll 00C6 FindClose 1 000063C8 kernel32.dll 025D MulDiv 1 000063CC kernel32.dll 0162 GetLastError 1 000063D0 kernel32.dll 004E CreateFileA 1 000063D4 kernel32.dll 01EB GlobalFree 1 000063D8 kernel32.dll 03A6 lstrcpy 1 000063DC kernel32.dll 0165 GetLocaleInfoA 1 000063E0 kernel32.dll 0245 LocalFree 1 000063E4 kernel32.dll 0103 GetCommandLineA 1 000063E8 kernel32.dll 01F6 GlobalUnlock 1 000063EC kernel32.dll 0395 _hread 1 000063F0 kernel32.dll 01EF GlobalLock FThunk: 000063F8 NbFunc: 00000006 1 000063F8 shell32.dll 008B DragFinish 1 000063FC shell32.dll 0162 ShellAboutA 1 00006400 shell32.dll 0167 ShellExecuteA 1 00006404 shell32.dll 008A DragAcceptFiles 1 00006408 shell32.dll 013D SHGetSpecialFolderPathA 1 0000640C shell32.dll 008C DragQueryFile FThunk: 00006414 NbFunc: 0000003C 1 00006414 user32.dll 02D9 wsprintfA 1 00006418 user32.dll 0043 CloseClipboard 1 0000641C user32.dll 01A0 IsClipboardFormatAvailable 1 00006420 user32.dll 01F4 OpenClipboard 1 00006424 user32.dll 012D GetMenu 1 00006428 user32.dll 01C9 LoadStringA 1 0000642C user32.dll 01B4 LoadAcceleratorsA 1 00006430 user32.dll 015D GetSystemMenu 1 00006434 user32.dll 021B RegisterClipboardFormatA 1 00006438 user32.dll 0281 SetWindowLongA 1 0000643C user32.dll 0061 CreateWindowExA 1 00006440 user32.dll 01B8 LoadCursorA 1 00006444 user32.dll 0218 RegisterClassExA 1 00006448 user32.dll 015E GetSystemMetrics 1 0000644C user32.dll 02BC UpdateWindow 1 00006450 user32.dll 002E CharPrevA 1 00006454 user32.dll 0100 GetClientRect 1 00006458 user32.dll 01FE PeekMessageA 1 0000645C user32.dll 0254 SetDlgItemTextA 1 00006460 user32.dll 029C TabbedTextOutA 1 00006464 user32.dll 0056 CreateDialogParamA 1 00006468 user32.dll 00C5 EnableWindow 1 0000646C user32.dll 0178 GetWindowTextA 1 00006470 user32.dll 0237 SendDlgItemMessageA 1 00006474 user32.dll 0111 GetDlgCtrlID 1 00006478 user32.dll 003D ChildWindowFromPoint 1 0000647C user32.dll 0232 ScreenToClient 1 00006480 user32.dll 010C GetCursorPos 1 00006484 user32.dll 0114 GetDlgItemTextA 1 00006488 user32.dll 015A GetSubMenu 1 0000648C user32.dll 003A CheckMenuItem 1 00006490 user32.dll 0287 SetWindowTextA 1 00006494 user32.dll 01A1 IsDialogMessage 1 00006498 user32.dll 02AB TranslateMessage 1 0000649C user32.dll 00A2 DispatchMessageA 1 000064A0 user32.dll 013B GetMessageA 1 000064A4 user32.dll 009A DestroyWindow 1 000064A8 user32.dll 01DC MessageBeep 1 000064AC user32.dll 01DD MessageBoxA 1 000064B0 user32.dll 008F DefWindowProcA 1 000064B4 user32.dll 00C3 EnableMenuItem 1 000064B8 user32.dll 0129 GetLastActivePopup 1 000064BC user32.dll 0293 ShowWindow 1 000064C0 user32.dll 00C7 EndDialog 1 000064C4 user32.dll 0258 SetForegroundWindow 1 000064C8 user32.dll 02D3 WinHelpA 1 000064CC user32.dll 01BC LoadIconA 1 000064D0 user32.dll 010D GetDC 1 000064D4 user32.dll 022B ReleaseDC 1 000064D8 user32.dll 024E SetCursor 1 000064DC user32.dll 023C SendMessageA 1 000064E0 user32.dll 0117 GetFocus 1 000064E4 user32.dll 0200 PostMessageA 1 000064E8 user32.dll 0257 SetFocus 1 000064EC user32.dll 0194 InvalidateRect 1 000064F0 user32.dll 01EA MoveWindow 1 000064F4 user32.dll 002B CharNextA 1 000064F8 user32.dll 01A7 IsIconic 1 000064FC user32.dll 0202 PostQuitMessage 1 00006500 user32.dll 02A7 TranslateAccelerator FThunk: 00006508 NbFunc: 00000007 1 00006508 comdlg32.dll 006E GetOpenFileNameA 1 0000650C comdlg32.dll 0067 ChooseFontA 1 00006510 comdlg32.dll 006A FindTextA 1 00006514 comdlg32.dll 0073 PageSetupDlgA 1 00006518 comdlg32.dll 0070 GetSaveFileNameA 1 0000651C comdlg32.dll 0069 CommDlgExtendedError 1 00006520 comdlg32.dll 006C GetFileTitleA 2004-6-6 21:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 24 楼 Oh...call xxxx也是这么还原的,不多说了.. anti_dump够黑,失败了n次才去看了一下,原来是no_access 佩服作者浪费内存的胆量、烦人的层数、阴险的招数、扎实的技术！ PFPF!!1:D 2004-6-6 21:50 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 25 楼这个壳暂时不更新了,先把那个辅助工具做好让大家能用,以后再慢慢琢磨新的算法估计下个壳里面我应该会把4个进程相互修改eip的模块加入 2004-6-6 22:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复