EncryptPE V2.2005.3.14试炼Service保护方式-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (60) ◀ 1 2 3
dmacro 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	dmacro 51 楼找到在711E4514处，我们在其下cmp dword ptr ss:[ebp-28],0的711E4524处设置硬件执行断点，Shift+F9中断下来 711E4514 8D4D D8 lea ecx,dword ptr ss:[ebp-28] //找到这里 711E4517 8B45 E8 mov eax,dword ptr ss:[ebp-18] 711E451A 8B10 mov edx,dword ptr ds:[eax] 711E451C 8B45 D8 mov eax,dword ptr ss:[ebp-28] 711E451F E8 0CA3FCFF call 711AE830 711E4524 837D D8 00 cmp dword ptr ss:[ebp-28],0 //硬件执行断点 [ebp-28]=[0013FF5C]=00E4D6DC ★ 711E4528 0F84 AE0C0000 je 711E51DC 711E452E 837D D4 00 cmp dword ptr ss:[ebp-2C],0 711E4532 0F8E A40C0000 jle 711E51DC 711E4538 8B45 D8 mov eax,dword ptr ss:[ebp-28] 711E453B 8B40 3C mov eax,dword ptr ds:[eax+3C] 711E453E 0345 D8 add eax,dword ptr ss:[ebp-28] 711E4541 8B40 28 mov eax,dword ptr ds:[eax+28] 711E4544 0345 DC add eax,dword ptr ss:[ebp-24] //EAX=000010CC+00400000=004010CC ★ OEP值 711E4547 83F0 FF xor eax,FFFFFFFF //异或FFFFFFFF后作为下面解码的参数 711E454A 8945 F0 mov dword ptr ss:[ebp-10],eax 在711E4524处中断后在数据窗口察看[0013FF5C]=00E4D6DC处数据： 00E4D6DC 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ?......?.. 00E4D6EC B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ?......@....... 00E4D6FC 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00E4D70C 00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 00 ............?.. 00E4D71C 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ?.???L?Th 00E4D72C 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno 00E4D73C 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS 00E4D74C 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$....... 00E4D75C 50 45 00 00 4C 01 05 00 65 91 46 35 00 00 00 00 PE..L.e?5.... 很明显，这是PE头数据，是哪个PE文件的？呵呵，加壳前的文件！并且PE头、资源段、重定位表段等都是原来的，当然，代码段某些数据是壳所加密的。现在用LordPE部分脱壳出这部分数据，Address=00E4D6DC、Size=0000D000，存为dumped0.eXe fly你好，请问：在711E4524处为什么 [ebp-28]=[0013FF5C]=00E4D6DC，另外，如何在数据窗口察看[0013FF5C]=00E4D6DC处数据？ 2005-8-3 11:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 52 楼最初由 dmacro 发布 fly你好，请问：在711E4524处为什么 [ebp-28]=[0013FF5C]=00E4D6DC，另外，如何在数据窗口察看[0013FF5C]=00E4D6DC处数据？ 1、不知道为什么，这个程序就这样 2、在数据窗口Ctrl+G 2005-8-3 11:26 0
dmacro 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	dmacro 53 楼 to fly： Size可以根据最后一个区段信息计算得出。怎么知道哪里是最后一个区段信息？ 2005-8-3 11:44 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 54 楼停在711E4524处时去数据窗口察看[ebp-28] 是数据窗口，不是堆栈 2005-8-3 12:07 0
dmacro 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	dmacro 55 楼 to fly： Size可以根据最后一个区段信息计算得出。怎么知道哪里是最后一个区段信息？ 2005-8-3 13:30 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 56 楼你用16进制工具打开记事本看看区段表学习一下PE知识 2005-8-3 14:20 0
madman 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	madman 57 楼斑竹: EncryptPE 8.10的脱壳方法,能不能写一下谢谢，我是菜鸟,刚学!麻烦写一下! 2005-10-16 14:33 0
不羁少年雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 63 粉丝 0 关注私信	不羁少年 58 楼学习，强者！ 2005-10-17 13:36 0
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 59 楼学习中，不过似乎和上个版本的对不上号，虽然楼主说是差不多的！ 2005-10-29 17:29 0
jtjtjt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jtjtjt 60 楼我在711E4514处，下cmp dword ptr ss:[ebp-28],0的711E4524处设置硬件执行断点， Shift+F9后就OD就退出了？不知道是为什么？都按说明操作的呀？？？ 2006-6-20 15:48 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 61 楼老王的壳现在不知道有什么最好的方法能脱,正在学习中,好像有个版本已经有脱壳机了,好多杀毒软件都把这个壳当为病毒了,不知道有没有学习的价值,希望FLY大哥,能做出个通用的脱壳机,就不用那么费劲了~!~! 2006-6-20 16:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (60) ◀ 1 2 3
dmacro 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	dmacro 51 楼找到在711E4514处，我们在其下cmp dword ptr ss:[ebp-28],0的711E4524处设置硬件执行断点，Shift+F9中断下来 711E4514 8D4D D8 lea ecx,dword ptr ss:[ebp-28] //找到这里 711E4517 8B45 E8 mov eax,dword ptr ss:[ebp-18] 711E451A 8B10 mov edx,dword ptr ds:[eax] 711E451C 8B45 D8 mov eax,dword ptr ss:[ebp-28] 711E451F E8 0CA3FCFF call 711AE830 711E4524 837D D8 00 cmp dword ptr ss:[ebp-28],0 //硬件执行断点 [ebp-28]=[0013FF5C]=00E4D6DC ★ 711E4528 0F84 AE0C0000 je 711E51DC 711E452E 837D D4 00 cmp dword ptr ss:[ebp-2C],0 711E4532 0F8E A40C0000 jle 711E51DC 711E4538 8B45 D8 mov eax,dword ptr ss:[ebp-28] 711E453B 8B40 3C mov eax,dword ptr ds:[eax+3C] 711E453E 0345 D8 add eax,dword ptr ss:[ebp-28] 711E4541 8B40 28 mov eax,dword ptr ds:[eax+28] 711E4544 0345 DC add eax,dword ptr ss:[ebp-24] //EAX=000010CC+00400000=004010CC ★ OEP值 711E4547 83F0 FF xor eax,FFFFFFFF //异或FFFFFFFF后作为下面解码的参数 711E454A 8945 F0 mov dword ptr ss:[ebp-10],eax 在711E4524处中断后在数据窗口察看[0013FF5C]=00E4D6DC处数据： 00E4D6DC 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ?......?.. 00E4D6EC B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ?......@....... 00E4D6FC 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00E4D70C 00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 00 ............?.. 00E4D71C 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ?.???L?Th 00E4D72C 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno 00E4D73C 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS 00E4D74C 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$....... 00E4D75C 50 45 00 00 4C 01 05 00 65 91 46 35 00 00 00 00 PE..L.e?5.... 很明显，这是PE头数据，是哪个PE文件的？呵呵，加壳前的文件！并且PE头、资源段、重定位表段等都是原来的，当然，代码段某些数据是壳所加密的。现在用LordPE部分脱壳出这部分数据，Address=00E4D6DC、Size=0000D000，存为dumped0.eXe fly你好，请问：在711E4524处为什么 [ebp-28]=[0013FF5C]=00E4D6DC，另外，如何在数据窗口察看[0013FF5C]=00E4D6DC处数据？ 2005-8-3 11:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 52 楼最初由 dmacro 发布 fly你好，请问：在711E4524处为什么 [ebp-28]=[0013FF5C]=00E4D6DC，另外，如何在数据窗口察看[0013FF5C]=00E4D6DC处数据？ 1、不知道为什么，这个程序就这样 2、在数据窗口Ctrl+G 2005-8-3 11:26 0
dmacro 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	dmacro 53 楼 to fly： Size可以根据最后一个区段信息计算得出。怎么知道哪里是最后一个区段信息？ 2005-8-3 11:44 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 54 楼停在711E4524处时去数据窗口察看[ebp-28] 是数据窗口，不是堆栈 2005-8-3 12:07 0
dmacro 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	dmacro 55 楼 to fly： Size可以根据最后一个区段信息计算得出。怎么知道哪里是最后一个区段信息？ 2005-8-3 13:30 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 56 楼你用16进制工具打开记事本看看区段表学习一下PE知识 2005-8-3 14:20 0
madman 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	madman 57 楼斑竹: EncryptPE 8.10的脱壳方法,能不能写一下谢谢，我是菜鸟,刚学!麻烦写一下! 2005-10-16 14:33 0
不羁少年雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 63 粉丝 0 关注私信	不羁少年 58 楼学习，强者！ 2005-10-17 13:36 0
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 59 楼学习中，不过似乎和上个版本的对不上号，虽然楼主说是差不多的！ 2005-10-29 17:29 0
jtjtjt 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	jtjtjt 60 楼我在711E4514处，下cmp dword ptr ss:[ebp-28],0的711E4524处设置硬件执行断点， Shift+F9后就OD就退出了？不知道是为什么？都按说明操作的呀？？？ 2006-6-20 15:48 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 61 楼老王的壳现在不知道有什么最好的方法能脱,正在学习中,好像有个版本已经有脱壳机了,好多杀毒软件都把这个壳当为病毒了,不知道有没有学习的价值,希望FLY大哥,能做出个通用的脱壳机,就不用那么费劲了~!~! 2006-6-20 16:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复