首页
社区
课程
招聘
老王的vfp&exeNc V5.00主程序脱壳+暗桩去除
发表于: 2005-4-22 19:28 32462

老王的vfp&exeNc V5.00主程序脱壳+暗桩去除

fly 活跃值
85
2005-4-22 19:28
32462
收藏
免费 7
支持
分享
最新回复 (58)
雪    币: 332
活跃值: (479)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
26
成立评测工作室倒是一个不错的想法,既练手又...,谁报名啊?呵呵。
2005-4-23 15:25
0
雪    币: 238
活跃值: (230)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
27
004AD905    E8 066DF5FF     call UnPacKed.00404610
004AD90A    A1 A8B64B00     mov eax,dword ptr ds:[4BB6A8]
//修改为mov eax,dword ptr ds:[4BB6B8]就行了   ★
004AD90F    8B15 B8B64B00   mov edx,dword ptr ds:[4BB6B8]
004AD915    E8 9E70F5FF     call UnPacKed.004049B8
//比较父进程目录是否是 系统目录:\Windows\
004AD91A    0F85 37010000   jnz UnPacKed.004ADA57
//否则跳

我按照这个方法修改后,OLL还是给挂了
2005-4-23 16:01
0
雪    币: 238
活跃值: (230)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
28
最初由 lucktiger 发布
好像没那么复杂,我直接dump 用importREC输入表 就可以运行了,非常感谢fly
提供解除限制的方法。我刚把最新版vfpexe%NC5.50破解了。


你是如何修改的,我好象不能修改 注册成功后好象不是你出现的界面吧?!
2005-4-23 16:02
0
雪    币: 198
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
最初由 daxia200N 发布
fly快把吃加密这饭碗的都给砸拉,也不怕集体报复你,呵呵,

FLY 炼了丐帮的“降龙十八掌”,还怕谁啊?哈哈
2005-4-23 17:52
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
30
变成水贴了~
FLY 强!
2005-4-23 18:32
0
雪    币: 238
活跃值: (230)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
31
最初由 nig 发布


VF的狗壳我来给你处理好了.

正好测试一下我的程序!


谢谢!不过我的不是VF的狗壳,
2005-4-24 10:43
0
雪    币: 238
活跃值: (230)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
32
最初由 lucktiger 发布
好像没那么复杂,我直接dump 用importREC输入表 就可以运行了,非常感谢fly
提供解除限制的方法。我刚把最新版vfpexe%NC5.50破解了。

注册成功后显示的不是你出现的界面,应该如下图
2005-4-24 11:09
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
33
demo版的冬冬
要破解先去找个完全版(key)
2005-4-24 11:13
0
雪    币: 218
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
太厉害了!学习!
2005-4-24 11:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
向高手学习!
2005-4-25 08:52
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
老王好强啊!
2005-4-25 12:04
0
雪    币: 202
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
真是中国ck界的骄傲!
2005-4-25 12:18
0
雪    币: 184
活跃值: (108)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
38
主程序脱壳可以了,可给加壳的VPF程序脱的好像有点变形了,给个提示????

这里有个小VPF程序,如下:

00401760 N> $  55                push ebp
00401761    .  8BEC              mov ebp,esp
00401763    .  6A FF             push -1
00401765    .  68 B8204000       push NEW2.004020B8
0040176A    .  68 60194000       push <jmp.&MSVCRT._except_handler3>                     ;  SE handler installation
0040176F    .  64:A1 00000000    mov eax,dword ptr fs:[0]
00401775    .  50                push eax
00401776    .  64:8925 00000000  mov dword ptr fs:[0],esp
0040177D    .  83C4 98           add esp,-68
00401780    .  53                push ebx
00401781    .  56                push esi
00401782    .  57                push edi
00401783    .  8965 E8           mov dword ptr ss:[ebp-18],esp
00401786    .  C745 FC 00000000  mov dword ptr ss:[ebp-4],0
0040178D    .  6A 02             push 2
0040178F    .  FF15 48204000     call near dword ptr ds:[<&MSVCRT.__set_app_type>]       ;  MSVCRT.__set_app_type

加壳后,如FLY找到OEP后,如下
0041E450     55                  push ebp
0041E451     8BEC                mov ebp,esp
0041E453     B9 08000000         mov ecx,8
0041E458     6A 00               push 0
0041E45A     6A 00               push 0
0041E45C     49                  dec ecx
0041E45D   ^ 75 F9               jnz short NEW.0041E458
0041E45F     53                  push ebx
0041E460     56                  push esi
0041E461     57                  push edi
0041E462     B8 B8E34100         mov eax,NEW.0041E3B8
0041E467     E8 6C80FEFF         call NEW.004064D8
0041E46C     BE 2C2B4200         mov esi,NEW.00422B2C
0041E471     33C0                xor eax,eax
0041E473     55                  push ebp

明显出现偏差,dump后运行成FOX环境了,而不是程序运行,为什么?附件:NEW2.rar
2005-4-26 13:41
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
39
文中已经说了:主程序是delphi
VF的东东没研究
应该是替换了VF的文件头
2005-4-26 13:52
0
雪    币: 184
活跃值: (108)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
40
vfp&exeNc 好像的确把VF的头给换掉了,怎么换掉的?如何还原,有熟悉VF的给一个提示呀.

不能老脱DElPHI的程序,这个vfp&exeNc就是加壳VF的,脱程序会了,VF的不知道怎么弄回来,高手出来看看嘛,不然FLY研究脱主程序,加壳代换部分还是弄不明白,主要的都没有搞方向出来,汗..........
:
上面给的NEWS.exe就是一个VF 的小程序,大家加加壳,看怎么弄回来
2005-4-26 14:12
0
雪    币: 213
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
太叼了,可惜技术有限,收藏下来再慢慢研究!!
2005-4-29 19:45
0
雪    币: 238
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sbd
42
执行完 JMP 之后 DUMP,不能用stripper_v207f脱壳?
不知什么原因?
2005-5-5 13:21
0
雪    币: 238
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sbd
43
用NC 加的VFP软件,如FLY大侠所说,是用DELPHI写的,所以脱壳后不是VFP文件,(我不熟悉脱壳,是用OD层层进入的),直接在内存中恢复原程序执行的,具体算法正在研究
2005-5-5 13:27
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
UPX
44
据说对付VF加壳的程序还有最简单的方法
在内存中找到VF的“主干”,然后自己加个VF头就可以了
2005-5-5 17:23
0
雪    币: 356
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
fly果然厉害!!!,能把这么个难题写得如此写意,不得不服啊。

引用:
----------------------------------
当然,我们可以继续手动跟踪脱壳。
直接按AsPacK的脱壳方法来做就行了,Ctrl+F在当前位置下搜索命令序列:
  lods word ptr ds:[esi]
  stos word ptr es:[edi]

004EE272    66:AD           lods word ptr ds:[esi]
//找到这里
004EE274    66:AB           stos word ptr es:[edi]
004EE276    EB F1           jmp short vfp&exeN.004EE269
004EE278    BE 00C00B00     mov esi,0BC000
//F4直接过来     000BC000就是Import Table RVA  ★
004EE27D    8B95 22040000   mov edx,dword ptr ss:[ebp+422]
004EE283    03F2            add esi,edx
004EE285    8B46 0C         mov eax,dword ptr ds:[esi+C]
004EE288    85C0            test eax,eax
004EE28A    0F84 0A010000   je vfp&exeN.004EE39A
//输入表处理完毕则跳转
----------------------------------

现在找了个胜新生产管理系统V7.16代替,想来应该差不多,但照着做到这里时(刚到OEP)一按F4,立刻跑到
00420FFF    00              ???                                  ; 命令交叉到内存块尾部

单步运行过来也一样,怎么加事呢?
2005-5-7 15:59
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
46
vfp&exe分为内存型加密和文件型加密

另外:我脱的主程序是delphi的,和加壳的VF程序是不同的
2005-5-7 16:26
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
47
最初由 nig 发布
VF的狗壳我来给你处理好了.

正好测试一下我的程序!


可否帮我看一个hasp狗,,,
2005-5-7 16:27
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
48
支持fly老大!!
2005-5-7 19:01
0
雪    币: 238
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sbd
49
是用DELPHI写了一个VF处理程序以替代标准的VF装入程序,之后再加壳,所以看上去是DELPHI
2005-5-7 23:39
0
雪    币: 356
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
引用:
------------------
004EE00E    E8 01000000     call vfp&exeN.004EE014
004EE013    EB 5D           jmp short vfp&exeN.004EE072

明显可以看出是AsPack,OK,现在可以dump下来,修正EP=000EE001,再把原来的IAT复制进dump.exe,就可以直接用stripper_v207f自动脱去这层壳了!

当然,我们可以继续手动跟踪脱壳。
------------------
怎么把原来的IAT复制进DUMP.EXE?是用peid获取的IAT吗?我这时看是乱码啊。???
2005-5-10 22:02
0
游客
登录 | 注册 方可回帖
返回
//