首页
社区
课程
招聘
[原创]DYAMAR Protector 主程式的脫殼(單純研究)
发表于: 2011-4-14 12:08 13027

[原创]DYAMAR Protector 主程式的脫殼(單純研究)

2011-4-14 12:08
13027

今天小弟介紹一個剛在論壇發現的一個新殼發布DYAMAR Protector,拿來研究了一下



他的OEP,果然特別...。

直接F9之後

stack居然OEP的資訊



這個殼還不錯

好啦,開始脫殼

先到VirtualFree斷下來


結果卻出現這個


那我們改變作法,在VirtualFree的地方下硬件斷點,一樣被偵測到,那我們換一個OD。
過了第一次的檢測之後,在中斷五次。
之後開啟內存視窗,在text段下斷點。直接shift+F9,即可到達OEP


接下來用lordpe dump下來,並且用IMPREC修復IAT,即可脫殼完畢

小弟目前還在尋找其他的方式,正在尋找到跳到OEP的關鍵之處。

目前正在修復dump.exe中

脫殼之後,需要再dump 00e30000 這個區段,不過程式結束之後的錯誤,還沒有處理。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (11)
雪    币: 13186
活跃值: (4246)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
消灭0回复
新 壳这么快就搞定了。。。
2011-4-20 16:09
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
DEMO的不一样吧
2011-4-22 11:43
0
雪    币: 279
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
刚开始的时候下了个Demo看了下,主程序没偷OEP,没偷代码,没加密IAT,没Anti。
2011-4-23 09:59
0
雪    币: 350
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hcg
5
這兩天玩過此殼

脫殼最簡便方式使用  ESP 定律可秒脫

命令列輸入

hr esp-18           Enter-->F9-->F9 此時  EAX 的值就是 OEP  再 F8 幾下就到 OEP 了 ^^

或用

脫殼特徵碼

jmp dword ptr ss:[esp-0x4]  跳往  OEP
2011-5-8 08:43
0
雪    币: 416
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
你的殼拖完之後,啟動和關閉,有沒有問題。
2011-5-8 10:48
0
雪    币: 350
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hcg
7
傳上檔案您測試下^^
上传的附件:
2011-5-8 13:32
0
雪    币: 154
活跃值: (216)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
程式、档案(……&(%难道是台湾国的人?
2011-5-17 09:56
0
雪    币: 416
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
呵呵,OK了,可能是我在dump的時候沒有用原來的PE header才導致出問題。
2011-5-17 10:04
0
雪    币: 12293
活跃值: (5048)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10

来学习一下哟
2012-1-28 00:08
0
雪    币: 3361
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
楼上2位好猛!
2012-5-4 10:37
0
雪    币: 52
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
嗨~幻影火! 我也住台灣!能交流一下嗎?(其實是想請教你...><) 你有沒有fb阿?
2012-8-5 13:53
0
游客
登录 | 注册 方可回帖
返回
//