[分享]*PESHiELD 0.25 -> ANAKiN*　简单手脱。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[分享]*PESHiELD 0.25 -> ANAKiN*　简单手脱。

发表于: 2005-5-4 00:56 6082

[分享]PESHiELD 0.25 -> ANAKiN　简单手脱。

cnnets

2005-5-4 00:56

6082

今天，一网友上传了个说是“一个新壳，搞了很久都脱不了”的程序，用新版的PEID可以查出是*PESHiELD 0.25 -> ANAKiN*加的壳，旧版的PEID是查不出什么壳的。用通用脱壳插件几秒搞掂，不过顺应那网友要求，用OD试试手脱，大家交流交流。呵呵，程序是VB6精简版编的。

0040492C > 60    pushad　＞＞＞＞＞＞＞＞＞＞OD载入停在这
0040492D  E8 00000000 call test.00404932
00404932  58    pop eax
00404933  8DA8 72FFFFFF  lea ebp,dword ptr ds:[eax-8E]
00404939  8D98 CEB6FFFF  lea ebx,dword ptr ds:[eax+FFFFB6>
0040493F  8DB0 74010000  lea esi,dword ptr ds:[eax+174]
00404945  8D4E F6    lea ecx,dword ptr ds:[esi-A]
00404948  48    dec eax

ALT+M，在00401000处下内存访问断点，按F9运行。
0040497A  A4    movs byte ptr es:[edi],byte ptr ds:[esi]　＞＞＞＞＞＞断在这，取消内存断点，按F8跟下去，遇到往上跳的可在下一行点击后按F4，
0040497B  B6 80    mov dh,80
0040497D  FFD3    call ebx
0040497F ^ 73 F9    jnb short test.0040497A
00404981  33C9    xor ecx,ecx
00404983  FFD3    call ebx
00404985  73 16    jnb short test.0040499D
00404987  33C0    xor eax,eax
。。。。。。。。。
004049E4 ^\EB 97    jmp short test.0040497D
004049E6  33C9    xor ecx,ecx　＞＞＞＞＞＞＞＞来到这按在命令行输入d 401000，并点击这行，按F4，可以看到代码的解压过程。
004049E8  41    inc ecx
004049E9  FFD3    call ebx
004049EB  13C9    adc ecx,ecx
004049ED  FFD3    call ebx
004049EF ^ 72 F8    jb short test.004049E9
004049F1  C3    retn　＞＞＞＞＞＞＞＞＞到这是往上返回的，在4049F2处单击再按F4运行。
004049F2  5A    pop edx　＞＞＞在此F4后，CTRL+F，输入popad查找，
004049F3  5D    pop ebp
004049F4  5B    pop ebx
。。。。。。。。。
找到这：
00404A94 ^\75 D0    jnz short test.00404A66
00404A96  61    popad＞＞＞＞＞＞＞＞＞找到此后，按F8跟下去
00404A97 ^ E9 90FEFFFF jmp test.<ModuleEntryPoint>
00404A9C  02D2    add dl,dl
00404A9E  75 05    jnz short test.00404AA5
00404AA0  8A16    mov dl,byte ptr ds:[esi]
00404AA2  46    inc esi
00404AA3  12D2    adc dl,dl
00404AA5  C3    retn

到404AA5后返回到：
0040492C >- E9 FFC7FFFF jmp test.00401130　＞＞＞＞＞＞＞＞＞跳到OEP
00404931  0058 8D    add byte ptr ds:[eax-73],bl
00404934  A8 72    test al,72
。。。。。。。

0040111C - FF25 28104000  jmp dword ptr ds:[401028]          ; MSVBVM60.EVENT_SINK_AddRef
00401122 - FF25 30104000  jmp dword ptr ds:[401030]          ; MSVBVM60.EVENT_SINK_Release
00401128 - FF25 60104000  jmp dword ptr ds:[401060]          ; MSVBVM60.ThunRTMain
0040112E  0000    add byte ptr ds:[eax],al
00401130  68 64124000 push test.00401264　＊＊＊＊＊＊＊VB程序经典OEP，在这DUMP就脱壳成功，如不能正常运行的可用IREC修复一下。
00401135  E8 EEFFFFFF call test.00401128             ; jmp to MSVBVM60.ThunRTMain
0040113A  0000    add byte ptr ds:[eax],al
0040113C  0000    add byte ptr ds:[eax],al
0040113E  0000    add byte ptr ds:[eax],al
00401140  3000    xor byte ptr ds:[eax],al
00401142  0000    add byte ptr ds:[eax],al
00401144  3800    cmp byte ptr ds:[eax],al
00401146  0000    add byte ptr ds:[eax],al
00401148  0000    add byte ptr ds:[eax],al
0040114A  0000    add byte ptr ds:[eax],al
0040114C  0C 02    or al,2

Created By cnnets, 2005.05.04

附件为原加壳文件，有兴趣的试试。附件:test.rar

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

免费・0

支持

最新回复 (10)
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2 楼简便方法: 0040492D E8 00000000 call test.00404932 //ESP定律飞到一个 JMP F8 过去又一个JMP F8 过去就是OEP了 2005-5-4 10:01 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 3 楼 CNNETS ，这个容易，你试试这个如何：附件:crackme1.rar 2005-5-4 13:09 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 4 楼最初由 cnnets 发布今天，一网友上传了个说是“一个新壳，搞了很久都脱不了”的程序，用新版的PEID可以查出是PESHiELD 0.25 -> ANAKiN加的壳，旧版的PEID是查不出什么壳的。用通用脱壳插件几秒搞掂，不过顺应那网友要求，用OD试试手脱，大家交流交流。呵呵，程序是VB6精简版编的。 0040492C > 60 pushad　＞＞＞＞＞＞＞＞＞＞OD载入停在这 0040492D E8 00000000 call test.00404932 00404932 58 pop eax ........ 这个壳不知道是谁写的，我脱了几个这样的壳新版本，对VB入口有变形以及偷字节，IAT也有处理，不过还好，还是比较容易。 2005-5-4 16:32 0
UPX 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	UPX 5 楼果然简单不是hying变形壳 2005-5-4 17:12 0
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 6 楼最初由 skyege 发布 CNNETS ，这个容易，你试试这个如何：附件:crackme1.rar 脱了一半,可以编辑资源,可输入表还未搞定.请高手看看. 2005-5-4 19:09 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼最初由 skyege 发布 CNNETS ，这个容易，你试试这个如何：附件:crackme1.rar 试试附件:UnPacKed.crackme1.rar 2005-5-16 20:00 0
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 8 楼呵呵,这个用Un工具几秒就OK了,可手脱还得慢慢学...... 2005-5-17 18:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼你以为上面是脱壳机脱的？ 2005-5-17 19:02 0
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 10 楼呵呵，不是，FLY大哥别生气。我说的是我自己，所以就没继续脱下去，难得老大你出手，能写几个关键的地方？让小的也学一下。 2005-5-18 09:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 11 楼不至于生气，大家都在学习教程在这里，请察看 PESHiELD V0.25完美脱壳――PESHIELD.eXe主程序 http://bbs.pediy.com/showthread.php?s=&threadid=13793 2005-5-18 09:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cnnets

发帖

251

回帖

RANK

关注

私信

他的文章

[求助]LPK方式的内存补丁，如何加上启动的声明之类提示窗口？ 5424

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2 楼简便方法: 0040492D E8 00000000 call test.00404932 //ESP定律飞到一个 JMP F8 过去又一个JMP F8 过去就是OEP了 2005-5-4 10:01 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 3 楼 CNNETS ，这个容易，你试试这个如何：附件:crackme1.rar 2005-5-4 13:09 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 4 楼最初由 cnnets 发布今天，一网友上传了个说是“一个新壳，搞了很久都脱不了”的程序，用新版的PEID可以查出是PESHiELD 0.25 -> ANAKiN加的壳，旧版的PEID是查不出什么壳的。用通用脱壳插件几秒搞掂，不过顺应那网友要求，用OD试试手脱，大家交流交流。呵呵，程序是VB6精简版编的。 0040492C > 60 pushad　＞＞＞＞＞＞＞＞＞＞OD载入停在这 0040492D E8 00000000 call test.00404932 00404932 58 pop eax ........ 这个壳不知道是谁写的，我脱了几个这样的壳新版本，对VB入口有变形以及偷字节，IAT也有处理，不过还好，还是比较容易。 2005-5-4 16:32 0
UPX 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	UPX 5 楼果然简单不是hying变形壳 2005-5-4 17:12 0
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 6 楼最初由 skyege 发布 CNNETS ，这个容易，你试试这个如何：附件:crackme1.rar 脱了一半,可以编辑资源,可输入表还未搞定.请高手看看. 2005-5-4 19:09 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼最初由 skyege 发布 CNNETS ，这个容易，你试试这个如何：附件:crackme1.rar 试试附件:UnPacKed.crackme1.rar 2005-5-16 20:00 0
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 8 楼呵呵,这个用Un工具几秒就OK了,可手脱还得慢慢学...... 2005-5-17 18:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼你以为上面是脱壳机脱的？ 2005-5-17 19:02 0
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 10 楼呵呵，不是，FLY大哥别生气。我说的是我自己，所以就没继续脱下去，难得老大你出手，能写几个关键的地方？让小的也学一下。 2005-5-18 09:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 11 楼不至于生气，大家都在学习教程在这里，请察看 PESHiELD V0.25完美脱壳――PESHIELD.eXe主程序 http://bbs.pediy.com/showthread.php?s=&threadid=13793 2005-5-18 09:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[分享]*PESHiELD 0.25 -> ANAKiN* 简单手脱。

[分享]PESHiELD 0.25 -> ANAKiN　简单手脱。