首页
社区
课程
招聘
EncryptPE V2.2005.3.14试炼Service保护方式
发表于: 2005-5-15 20:04 23570

EncryptPE V2.2005.3.14试炼Service保护方式

fly 活跃值
85
2005-5-15 20:04
23570
收藏
免费 7
支持
分享
最新回复 (60)
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
找到在711E4514处,我们在其下cmp dword ptr ss:[ebp-28],0的711E4524处设置硬件执行断点,Shift+F9中断下来

711E4514 8D4D D8 lea ecx,dword ptr ss:[ebp-28]
//找到这里
711E4517 8B45 E8 mov eax,dword ptr ss:[ebp-18]
711E451A 8B10 mov edx,dword ptr ds:[eax]
711E451C 8B45 D8 mov eax,dword ptr ss:[ebp-28]
711E451F E8 0CA3FCFF call 711AE830
711E4524 837D D8 00 cmp dword ptr ss:[ebp-28],0
//硬件执行断点 [ebp-28]=[0013FF5C]=00E4D6DC ★
711E4528 0F84 AE0C0000 je 711E51DC
711E452E 837D D4 00 cmp dword ptr ss:[ebp-2C],0
711E4532 0F8E A40C0000 jle 711E51DC
711E4538 8B45 D8 mov eax,dword ptr ss:[ebp-28]
711E453B 8B40 3C mov eax,dword ptr ds:[eax+3C]
711E453E 0345 D8 add eax,dword ptr ss:[ebp-28]
711E4541 8B40 28 mov eax,dword ptr ds:[eax+28]
711E4544 0345 DC add eax,dword ptr ss:[ebp-24]
//EAX=000010CC+00400000=004010CC ★ OEP值
711E4547 83F0 FF xor eax,FFFFFFFF
//异或FFFFFFFF后作为下面解码的参数
711E454A 8945 F0 mov dword ptr ss:[ebp-10],eax

在711E4524处中断后在数据窗口察看[0013FF5C]=00E4D6DC处数据:
00E4D6DC 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ?......?..
00E4D6EC B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ?......@.......
00E4D6FC 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00E4D70C 00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 00 ............?..
00E4D71C 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ?.???L?Th
00E4D72C 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno
00E4D73C 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS
00E4D74C 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$.......
00E4D75C 50 45 00 00 4C 01 05 00 65 91 46 35 00 00 00 00 PE..L.e?5....

很明显,这是PE头数据,是哪个PE文件的?呵呵,加壳前的文件!并且PE头、资源段、重定位表段等都是原来的,当然,代码段某些数据是壳所加密的。现在用LordPE部分脱壳出这部分数据,Address=00E4D6DC、Size=0000D000,存为dumped0.eXe


fly你好,请问:在711E4524处 为什么 [ebp-28]=[0013FF5C]=00E4D6DC,另外,如何在数据窗口察看[0013FF5C]=00E4D6DC处数据?
2005-8-3 11:19
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
52
最初由 dmacro 发布
fly你好,请问:在711E4524处 为什么 [ebp-28]=[0013FF5C]=00E4D6DC,另外,如何在数据窗口察看[0013FF5C]=00E4D6DC处数据?


1、不知道为什么,这个程序就这样
2、在数据窗口Ctrl+G
2005-8-3 11:26
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
to fly:
Size可以根据最后一个区段信息计算得出。
怎么知道哪里是最后一个区段信息?
2005-8-3 11:44
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
54
停在711E4524处时去数据窗口察看[ebp-28]
是数据窗口,不是堆栈
2005-8-3 12:07
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
to fly:
Size可以根据最后一个区段信息计算得出。
怎么知道哪里是最后一个区段信息?
2005-8-3 13:30
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
56
你用16进制工具打开记事本看看区段表
学习一下PE知识
2005-8-3 14:20
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
57
斑竹: EncryptPE 8.10的脱壳方法,能不能写一下

谢谢,我是菜鸟,刚学!麻烦写一下!
2005-10-16 14:33
0
雪    币: 401
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
58
学习,强者!
2005-10-17 13:36
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
59
学习中,不过似乎和上个版本的对不上号,虽然楼主说是差不多的!
2005-10-29 17:29
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
60
我在711E4514处,下cmp dword ptr ss:[ebp-28],0的711E4524处设置硬件执行断点,
Shift+F9后就OD就退出了?不知道是为什么?都按说明操作的呀???
2006-6-20 15:48
0
雪    币: 250
活跃值: (11)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
61
老王的壳现在不知道有什么最好的方法能脱,正在学习中,好像有个版本已经有脱壳机了,好多杀毒软件都把这个壳当为病毒了,不知道有没有学习的价值,希望FLY大哥,能做出个通用的脱壳机,就不用那么费劲了~!~!
2006-6-20 16:05
0
游客
登录 | 注册 方可回帖
返回
//