[原创]DYAMAR Protector 主程式的脫殼(單純研究)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]DYAMAR Protector 主程式的脫殼(單純研究)

发表于: 2011-4-14 12:08 13035

[原创]DYAMAR Protector 主程式的脫殼(單純研究)

幻影火

2011-4-14 12:08

13035

今天小弟介紹一個剛在論壇發現的一個新殼發布DYAMAR Protector，拿來研究了一下

他的OEP，果然特別...。

直接F9之後

stack居然OEP的資訊

這個殼還不錯

好啦，開始脫殼

先到VirtualFree斷下來

結果卻出現這個

那我們改變作法，在VirtualFree的地方下硬件斷點，一樣被偵測到，那我們換一個OD。
過了第一次的檢測之後，在中斷五次。
之後開啟內存視窗，在text段下斷點。直接shift+F9，即可到達OEP

接下來用lordpe dump下來，並且用IMPREC修復IAT，即可脫殼完畢

小弟目前還在尋找其他的方式，正在尋找到跳到OEP的關鍵之處。

目前正在修復dump.exe中

脫殼之後，需要再dump 00e30000 這個區段，不過程式結束之後的錯誤，還沒有處理。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Noname.jpg （168.42kb，375次下载）
stack.jpg （36.26kb，370次下载）
VirtualFree.jpg （92.57kb，369次下载）
ERROR.jpg （272.54kb，371次下载）
oep.jpg （109.14kb，370次下载）

收藏・4

免费・7

支持

最新回复 (11)
xJJuno 雪币： 13262 活跃值： (4311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 2 楼消灭0回复新壳这么快就搞定了。。。 2011-4-20 16:09 0
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 141 粉丝 0 关注私信	cjteam 3 楼 DEMO的不一样吧 2011-4-22 11:43 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 4 楼刚开始的时候下了个Demo看了下，主程序没偷OEP，没偷代码，没加密IAT，没Anti。 2011-4-23 09:59 0
hcg 雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 0 关注私信	hcg 5 楼這兩天玩過此殼脫殼最簡便方式使用 ESP 定律可秒脫命令列輸入 hr esp-18 Enter-->F9-->F9 此時 EAX 的值就是 OEP 再 F8 幾下就到 OEP 了 ^^ 或用脫殼特徵碼 jmp dword ptr ss:[esp-0x4] 跳往 OEP 2011-5-8 08:43 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 6 楼你的殼拖完之後，啟動和關閉，有沒有問題。 2011-5-8 10:48 0
hcg 雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 0 关注私信	hcg 7 楼傳上檔案您測試下^^ 上传的附件： UNPacked.rar （777.73kb，52次下载） 2011-5-8 13:32 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼程式、档案（……&（%难道是台湾国的人？ 2011-5-17 09:56 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 9 楼呵呵，OK了，可能是我在dump的時候沒有用原來的PE header才導致出問題。 2011-5-17 10:04 0
xie风腾雪币： 12348 活跃值： (5113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 10 楼来学习一下哟 2012-1-28 00:08 0
radiolyl 雪币： 3361 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 43 粉丝 0 关注私信	radiolyl 11 楼楼上2位好猛！ 2012-5-4 10:37 0
大胖胖雪币： 52 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	大胖胖 12 楼嗨~幻影火! 我也住台灣!能交流一下嗎?(其實是想請教你...><) 你有沒有fb阿? 2012-8-5 13:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

幻影火

发帖

368

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
xJJuno 雪币： 13262 活跃值： (4311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 2 楼消灭0回复新壳这么快就搞定了。。。 2011-4-20 16:09 0
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 141 粉丝 0 关注私信	cjteam 3 楼 DEMO的不一样吧 2011-4-22 11:43 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 4 楼刚开始的时候下了个Demo看了下，主程序没偷OEP，没偷代码，没加密IAT，没Anti。 2011-4-23 09:59 0
hcg 雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 0 关注私信	hcg 5 楼這兩天玩過此殼脫殼最簡便方式使用 ESP 定律可秒脫命令列輸入 hr esp-18 Enter-->F9-->F9 此時 EAX 的值就是 OEP 再 F8 幾下就到 OEP 了 ^^ 或用脫殼特徵碼 jmp dword ptr ss:[esp-0x4] 跳往 OEP 2011-5-8 08:43 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 6 楼你的殼拖完之後，啟動和關閉，有沒有問題。 2011-5-8 10:48 0
hcg 雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 0 关注私信	hcg 7 楼傳上檔案您測試下^^ 上传的附件： UNPacked.rar （777.73kb，52次下载） 2011-5-8 13:32 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼程式、档案（……&（%难道是台湾国的人？ 2011-5-17 09:56 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 9 楼呵呵，OK了，可能是我在dump的時候沒有用原來的PE header才導致出問題。 2011-5-17 10:04 0
xie风腾雪币： 12348 活跃值： (5113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 10 楼来学习一下哟 2012-1-28 00:08 0
radiolyl 雪币： 3361 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 43 粉丝 0 关注私信	radiolyl 11 楼楼上2位好猛！ 2012-5-4 10:37 0
大胖胖雪币： 52 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	大胖胖 12 楼嗨~幻影火! 我也住台灣!能交流一下嗎?(其實是想請教你...><) 你有沒有fb阿? 2012-8-5 13:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复