首页
社区
课程
招聘
[旧帖] 求教脱壳及PE区段还原优化 Anti007 V1.0-V2.X -> NsPacK Private * 0.00雪花
发表于: 2011-3-2 22:03 4601

[旧帖] 求教脱壳及PE区段还原优化 Anti007 V1.0-V2.X -> NsPacK Private * 0.00雪花

2011-3-2 22:03
4601
Anti007 V1.0-V2.X -> NsPacK Private *  狗壳.

此壳在网上找了很多教程.终因出入太大而无法操作.望高手能以此做一份完整的教程放出.或将关健处指出.不胜感激.

区段优化还原还请赐教.区段己合并.
PE深度扫描才可查到.
原程序为 Microsoft Visual C++ 6.0

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 32
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
2
我的QQ: 88135558 还望有兴趣的朋友与我交流. 此Q邮箱可用.
2011-3-2 22:11
0
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rwx
3
这个是域天狗了,应该是密码型。无狗 很难脱掉的。带狗脱很容易的。
2011-3-3 10:22
0
雪    币: 32
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
4
00BD1771   /75 4B           jnz     short 00BD17BE
00BD1773   |8B4E 20         mov     ecx, dword ptr [esi+20]

00BD1771    90              nop      //此原来. jnz     short 00BD17BE
00BD1772    90              nop      //原为. mov     ecx, dword ptr [esi+20]
这里是按网上的教程NOP掉的.不过有些区别.主要是下面的代码.

00BD1773    8B4E 20         mov     ecx, dword ptr [esi+20]
00BD1776    8B7E 24         mov     edi, dword ptr [esi+24]
00BD1779    B8 57FAA37C     mov     eax, 7CA3FA57
00BD177E    33C8            xor     ecx, eax
00BD1780    33F8            xor     edi, eax
00BD1782    51              push    ecx
00BD1783    8D45 AC         lea     eax, dword ptr [ebp-54]
00BD1786    68 F890BD00     push    0BD90F8                          ; ASCII "%x"
00BD178B    50              push    eax
00BD178C    E8 C21F0000     call    00BD3753
00BD1791    57              push    edi
00BD1792    8D45 CC         lea     eax, dword ptr [ebp-34]
00BD1795    68 F890BD00     push    0BD90F8                          ; ASCII "%x"
00BD179A    50              push    eax
00BD179B    E8 B31F0000     call    00BD3753
00BD17A0    83C4 18         add     esp, 18
00BD17A3    8D45 CC         lea     eax, dword ptr [ebp-34]
00BD17A6    53              push    ebx
00BD17A7    50              push    eax
00BD17A8    8D45 AC         lea     eax, dword ptr [ebp-54]
00BD17AB    50              push    eax
00BD17AC    8D45 FF         lea     eax, dword ptr [ebp-1]
00BD17AF    6A 00           push    0
00BD17B1    50              push    eax
00BD17B2    E8 09030000     call    00BD1AC0
00BD17B7    85C0            test    eax, eax
00BD17B9    74 11           je      short 00BD17CC
00BD17BB    8B7D F0         mov     edi, dword ptr [ebp-10]
00BD17BE    FF45 08         inc     dword ptr [ebp+8]
00BD17C1    817D 08 FF00000>cmp     dword ptr [ebp+8], 0FF
00BD17C8  ^ 7C 94           jl      short 00BD175E
00BD17CA    EB 0A           jmp     short 00BD17D6
00BD17CC    8B7D F0         mov     edi, dword ptr [ebp-10]
00BD17CF    C745 F4 0100000>mov     dword ptr [ebp-C], 1
00BD17D6    FF75 F8         push    dword ptr [ebp-8]
00BD17D9    8D45 CC         lea     eax, dword ptr [ebp-34]
00BD17DC    53              push    ebx
00BD17DD    50              push    eax
00BD17DE    8D45 AC         lea     eax, dword ptr [ebp-54]
00BD17E1    50              push    eax
00BD17E2    E8 9DFDFFFF     call    00BD1584
00BD17E7    8B35 4881BD00   mov     esi, dword ptr [BD8148]          ; USER32.MessageBoxA
00BD17ED    83C4 10         add     esp, 10
00BD17F0    85C0            test    eax, eax
00BD17F2    75 2D           jnz     short 00BD1821
00BD17F4    8365 F4 00      and     dword ptr [ebp-C], 0
00BD17F8    837D F8 01      cmp     dword ptr [ebp-8], 1
00BD17FC    BB E890BD00     mov     ebx, 0BD90E8                     ; ASCII "加密锁提示:"
00BD1801    75 0C           jnz     short 00BD180F
00BD1803    6A 30           push    30
00BD1805    53              push    ebx
00BD1806    68 D890BD00     push    0BD90D8
00BD180B    6A 00           push    0
00BD180D    FFD6            call    esi
00BD180F    837D F8 02      cmp     dword ptr [ebp-8], 2
00BD1813    75 12           jnz     short 00BD1827
00BD1815    6A 30           push    30
00BD1817    53              push    ebx
00BD1818    68 C890BD00     push    0BD90C8
00BD181D    6A 00           push    0
00BD181F    FFD6            call    esi
00BD1821    837D F4 00      cmp     dword ptr [ebp-C], 0
00BD1825    75 2E           jnz     short 00BD1855
00BD1827    6A 00           push    0
00BD1829    6A 01           push    1
00BD182B    FF35 E8A0BD00   push    dword ptr [BDA0E8]
00BD1831    FF15 4C80BD00   call    dword ptr [BD804C]               ; kernel32.ReleaseSemaphore
00BD1837    FF35 E8A0BD00   push    dword ptr [BDA0E8]
00BD183D    FF15 4081BD00   call    dword ptr [BD8140]               ; kernel32.CloseHandle
00BD1843    6A 30           push    30
00BD1845    FF75 EC         push    dword ptr [ebp-14]
00BD1848    57              push    edi
00BD1849    6A 00           push    0
00BD184B    FFD6            call    esi
00BD184D    6A 00           push    0
00BD184F    FF15 4480BD00   call    dword ptr [BD8044]               ; kernel32.ExitProcess
00BD1855    6A 01           push    1
00BD1857    58              pop     eax
00BD1858    5F              pop     edi
00BD1859    5E              pop     esi
00BD185A    5B              pop     ebx
00BD185B    C9              leave
00BD185C    C3              retn
00BD185D    55              push    ebp
00BD185E    8BEC            mov     ebp, esp
00BD1860    83EC 14         sub     esp, 14
00BD1863    8B45 08         mov     eax, dword ptr [ebp+8]
00BD1866    8B4D 0C         mov     ecx, dword ptr [ebp+C]
00BD1869    53              push    ebx
00BD186A    56              push    esi
00BD186B    8B75 14         mov     esi, dword ptr [ebp+14]
00BD186E    03C1            add     eax, ecx
00BD1870    8945 F8         mov     dword ptr [ebp-8], eax
00BD1873    33DB            xor     ebx, ebx
00BD1875    8B46 48         mov     eax, dword ptr [esi+48]
00BD1878    395E 38         cmp     dword ptr [esi+38], ebx
00BD187B    57              push    edi
00BD187C    8B3D 4081BD00   mov     edi, dword ptr [BD8140]          ; kernel32.CloseHandle
00BD1882    8945 14         mov     dword ptr [ebp+14], eax
00BD1885    74 16           je      short 00BD189D
00BD1887    8D45 F0         lea     eax, dword ptr [ebp-10]
00BD188A    50              push    eax
00BD188B    53              push    ebx
00BD188C    56              push    esi
00BD188D    68 AC14BD00     push    0BD14AC
00BD1892    53              push    ebx
00BD1893    53              push    ebx
00BD1894    FF15 5880BD00   call    dword ptr [BD8058]               ; kernel32.CreateThread
00BD189A    50              push    eax
00BD189B    FFD7            call    edi
00BD189D    395D 14         cmp     dword ptr [ebp+14], ebx
00BD18A0    8D86 01040000   lea     eax, dword ptr [esi+401]
00BD18A6    8945 0C         mov     dword ptr [ebp+C], eax
00BD18A9    8D86 01050000   lea     eax, dword ptr [esi+501]
00BD18AF    8945 08         mov     dword ptr [ebp+8], eax
00BD18B2    74 0A           je      short 00BD18BE
00BD18B4    B9 E09FBD00     mov     ecx, 0BD9FE0
00BD18B9    E8 6EF7FFFF     call    00BD102C
00BD18BE    8D45 EC         lea     eax, dword ptr [ebp-14]
00BD18C1    50              push    eax
00BD18C2    8D45 F4         lea     eax, dword ptr [ebp-C]
00BD18C5    50              push    eax
00BD18C6    8D45 FC         lea     eax, dword ptr [ebp-4]
00BD18C9    50              push    eax
00BD18CA    E8 4DFCFFFF     call    00BD151C
00BD18CF    83C4 0C         add     esp, 0C
00BD18D2    85C0            test    eax, eax
00BD18D4    75 2D           jnz     short 00BD1903
00BD18D6    53              push    ebx
00BD18D7    6A 01           push    1
00BD18D9    FF35 E8A0BD00   push    dword ptr [BDA0E8]
00BD18DF    FF15 4C80BD00   call    dword ptr [BD804C]               ; kernel32.ReleaseSemaphore
00BD18E5    FF35 E8A0BD00   push    dword ptr [BDA0E8]
00BD18EB    FFD7            call    edi
00BD18ED    6A 30           push    30
00BD18EF    FF75 08         push    dword ptr [ebp+8]
00BD18F2    FF75 0C         push    dword ptr [ebp+C]
00BD18F5    53              push    ebx
00BD18F6    FF15 4881BD00   call    dword ptr [BD8148]               ; USER32.MessageBoxA
00BD18FC    53              push    ebx
00BD18FD    FF15 4480BD00   call    dword ptr [BD8044]               ; kernel32.ExitProcess
00BD1903    8B45 F8         mov     eax, dword ptr [ebp-8]
00BD1906    8B4D FC         mov     ecx, dword ptr [ebp-4]
00BD1909    FF75 10         push    dword ptr [ebp+10]
00BD190C    3108            xor     dword ptr [eax], ecx
00BD190E    8B4D F4         mov     ecx, dword ptr [ebp-C]
00BD1911    3148 04         xor     dword ptr [eax+4], ecx
00BD1914    83C0 04         add     eax, 4
00BD1917    83C0 04         add     eax, 4
00BD191A    50              push    eax
00BD191B    50              push    eax
00BD191C    E8 13FCFFFF     call    00BD1534
00BD1921    83C4 0C         add     esp, 0C
00BD1924    85C0            test    eax, eax
00BD1926    75 2D           jnz     short 00BD1955
00BD1928    53              push    ebx
00BD1929    6A 01           push    1
00BD192B    FF35 E8A0BD00   push    dword ptr [BDA0E8]
00BD1931    FF15 4C80BD00   call    dword ptr [BD804C]               ; kernel32.ReleaseSemaphore
00BD1937    FF35 E8A0BD00   push    dword ptr [BDA0E8]
00BD193D    FFD7            call    edi
00BD193F    6A 30           push    30
00BD1941    FF75 08         push    dword ptr [ebp+8]
00BD1944    FF75 0C         push    dword ptr [ebp+C]
00BD1947    53              push    ebx
00BD1948    FF15 4881BD00   call    dword ptr [BD8148]               ; USER32.MessageBoxA
00BD194E    53              push    ebx
00BD194F    FF15 4480BD00   call    dword ptr [BD8044]               ; kernel32.ExitProcess
00BD1955    395E 30         cmp     dword ptr [esi+30], ebx
00BD1958    74 19           je      short 00BD1973
00BD195A    8D45 F0         lea     eax, dword ptr [ebp-10]
00BD195D    83C6 40         add     esi, 40
00BD1960    50              push    eax
00BD1961    53              push    ebx
00BD1962    56              push    esi
00BD1963    68 D714BD00     push    0BD14D7
00BD1968    53              push    ebx
00BD1969    53              push    ebx
00BD196A    FF15 5880BD00   call    dword ptr [BD8058]               ; kernel32.CreateThread
00BD1970    50              push    eax
00BD1971    FFD7            call    edi
00BD1973    53              push    ebx
00BD1974    6A 01           push    1
00BD1976    FF35 E8A0BD00   push    dword ptr [BDA0E8]
00BD197C    FF15 4C80BD00   call    dword ptr [BD804C]               ; kernel32.ReleaseSemaphore
00BD1982    FF35 E8A0BD00   push    dword ptr [BDA0E8]
00BD1988    FFD7            call    edi
00BD198A    6A 01           push    1
00BD198C    58              pop     eax
00BD198D    5F              pop     edi
00BD198E    5E              pop     esi
00BD198F    5B              pop     ebx
00BD1990    C9              leave
00BD1991    C3              retn
2011-3-3 10:43
0
游客
登录 | 注册 方可回帖
返回
//