首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
花儿之家UNPAKEME
发表于: 2005-6-2 14:15 5535

花儿之家UNPAKEME

樱花散落 活跃值
2005-6-2 14:15
5535
1.该程序由『花儿之家 黑客联盟』程序保护软件 加密保护
2.该加密保护软件使用 UPX1.24w 内核
3.由该软件所保护的程序,脱壳失败后会伪装成 Borland Delphi 6.0 - 7.0 所编译的程序

程序提供:BOTNET & KuNgBiM
程序制作时间:2005-06-01  (国际儿童节)
还是K的那个VB程序,大家来脱下吧。把资源给压没了。哈附件:UnPacKed.UnpackMe.rar

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (14)
樱花散落
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
有些杀毒软件会误报。这个我没办法搞啊
2005-6-2 14:22
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
3
BP WriteProcessMemory

0012FE10   10004282  /CALL 到 WriteProcessMemory 来自 花儿之家.1000427D
0012FE14   00000048  |hProcess = 00000048 (window)
0012FE18   00400000  |Address = 400000
0012FE1C   008B0004  |Buffer = 008B0004             //地址
0012FE20   00008000  |BytesToWrite = 8000 (32768.)  //长度
0012FE24   0012FF80  \pBytesWritten = 0012FF80

再BP ResumeThread
把008B0004,长度8000,复制出来就是加壳前的文件了

BTW:没有什么特色的思路,探索其它的吧
2005-6-2 15:07
0
aqtata
雪    币: 319
活跃值: (951)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
4
卡巴斯基报警

附件:dumped.rar
2005-6-2 15:07
0
樱花散落
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
不会吧,老大就是老大。哈~~~~~~~~高手啊。但我明明把资源文件压没了啊。怎么弄出来的啊。
2005-6-2 15:14
0
q3 watcher
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
好好的东西为什么要把图标压坏?脱壳的方法和原来相同,没有什么影响。杀毒软件不是问题,我原来的那个就因为同学拿去躲什么瑞星的内存查杀而被报病毒了,后来发现杀毒软件公司的人都很忙,一般就从入口取一段作特征码,但您的这个壳从里到外都被取了特征码,您可以改一下UPX的特征码以及返回的方式,或调整源代码。壳好像没有什么强度,但可以很容易的配合别的壳一起用。不过有些问题我一直不太明白,从壳的出处看是黑客组织,用这种处理方法会使加壳后的文件会被报有捆绑数据,可能会被怀疑有木马,不太符合现在的大形式;我看了看主程序,觉得很奇怪,应该是个D的程序,干嘛费劲写一些没什么悬念的字伪装成C?还有PE头上的LODEPE的标志是什么怎么回事,我跟本没用啊?最后贴个记事本,感觉还是这样好些,最起码国内主流的AV都不叫了。 附件:Notepad.rar
2005-6-2 16:54
0
樱花散落
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
呵呵,谢谢各位的意见,程序还在修改中,相信我会改的更好,因为这里只有我一个人,所以我只能作到提高,但不能做到最好。PEID查的这个名字,我本人不打算更改了,因为太麻烦,得改些2进制的代码,至于为什么把资源(图标)压掉,这个问题我这些天在想,如果不压图标,会让人很容易脱,对了,我问下各位,那个所谓的病毒代码是不是和病毒免疫器代码有关系。这个我最近一直在考虑。记得我好象加了段病毒免疫器的代码?不过我的瑞星没报,后来我就不以为然了,没想到居然会被KV和KB误报,哎~~~~~~~~~
如真是这个原因,我去掉那段代码就是了。
希望各位大哥帮忙。
关于LODEPE的标志是因为我本想先伪装成VC++7.0后再调用主程序。结果弄错了,弄成了VC6没办法。哈~~~~~~~~~~
2005-6-2 18:21
0
liuyilin
雪    币: 303
活跃值: (461)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 fly 发布
BP WriteProcessMemory

0012FE10 10004282 /CALL 到 WriteProcessMemory 来自 花儿之家.1000427D
0012FE14 00000048 |hProcess = 00000048 (window)
0012FE18 00400000 |Address = 400000
........

请教:多问一句:如果将这个壳转换为单进程怎么作?
多谢
2005-6-2 22:32
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
9
抱歉,没有看这个
不过这个方式甚至比单进程还简单
2005-6-2 22:34
0
樱花散落
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
那样会很慢的,就象UPX―GUI 很慢,这个好快的哦~~~~~~
几乎不到1秒就压完了那个UNPACKME
所以我不想改单进程,因为要节约啊~
哈。
2005-6-2 22:47
0
樱花散落
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
这种处理方法会使加壳后的文件会被报有捆绑数据,可能会被怀疑有木马,
这个马是不是和那段病毒免疫的代码有关系啊?FLY老大
2005-6-2 22:58
0
wekabc
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
PC-Guard 5.0 -> Blagoje Ceklic那里有破解版?
2005-6-3 11:00
0
樱花散落
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
FLY小弟求学,怎么改这个病毒特征码,我试加花指令可以实现吗/
2005-7-14 16:48
0
LOCKLOSE
雪    币: 13606
活跃值: (4398)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
14
最初由 樱花散落 发布
FLY小弟求学,怎么改这个病毒特征码,我试加花指令可以实现吗/

好像有个工具可以修改特征码,叫什么CL吧.
2005-7-14 16:58
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
15
一般可以手动定位杀毒软件所确定的特征码的地方,修改成等效代码就行了
2005-7-14 17:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//