!EP (ExE Pack) V1.0 UnPacKed-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

!EP (ExE Pack) V1.0 UnPacKed

发表于: 2005-7-24 16:45 8087

!EP (ExE Pack) V1.0 UnPacKed

fly

2005-7-24 16:45

8087

!EP (ExE Pack) V1.0 UnPacKed

软件介绍： !EP - eXe packer and protector for application
下载地址： http://www.team-x.ru/projects/files/ep.zip
调试环境： WinXP、OllyDBD、PEiD、LordPE、IDA

―――――――――――――――――――――――――――――――――
看到linhanshi版主在工具版的帖子，随手脱一下，给新手朋友看看

0049D0FF 60             pushad
//进入OllyDBD后暂停在这
0049D100 68 54D04900    push 49D054 ; ASCII "KERNEL32.DLL"
0049D105 B8 48D04900    mov eax,49D048
0049D10A FF10          call dword ptr ds:[eax]
0049D10C 68 B3D04900    push 49D0B3 ; ASCII "GlobalAlloc"
0049D111 50             push eax
0049D112 B8 44D04900    mov eax,49D044
0049D117 FF10          call dword ptr ds:[eax]

BP GetModuleHandleA
中断2次后Alt+F9返回
可以用LorPE完全Dump出来了

0049D1D9 BA 00004000    mov edx,400000
0049D1DE BE 00B00700    mov esi,7B000
//7B000=Import Table RVA
//在处理输入表之前Dump出来，就不必使用ImportRec来修复了
0049D1E3 01D6          add esi,edx
0049D1E5 8B46 0C       mov eax,dword ptr ds:[esi+C]
0049D1E8 85C0          test eax,eax
0049D1EA 0F84 87000000 je 0049D277
0049D1F0 01D0          add eax,edx
0049D1F2 89C3          mov ebx,eax
0049D1F4 50             push eax
0049D1F5 B8 48D04900    mov eax,49D048
0049D1FA FF10          call dword ptr ds:[eax] ; kernel32.GetModuleHandleA
0049D1FC 85C0          test eax,eax
//返回这里
0049D1FE 75 08          jnz short 0049D208
0049D200 53             push ebx
0049D201 B8 4CD04900    mov eax,49D04C
0049D206 FF10          call dword ptr ds:[eax]
0049D208 8905 CED04900 mov dword ptr ds:[49D0CE],eax
0049D20E C705 D2D04900 0>mov dword ptr ds:[49D0D2],0
0049D218 BA 00004000    mov edx,400000
0049D21D 8B06          mov eax,dword ptr ds:[esi]
0049D21F 85C0          test eax,eax
0049D221 75 03          jnz short 0049D226
0049D223 8B46 10       mov eax,dword ptr ds:[esi+10]
0049D226 01D0          add eax,edx
0049D228 0305 D2D04900 add eax,dword ptr ds:[49D0D2]
0049D22E 8B18          mov ebx,dword ptr ds:[eax]
0049D230 8B7E 10       mov edi,dword ptr ds:[esi+10]
0049D233 01D7          add edi,edx
0049D235 033D D2D04900 add edi,dword ptr ds:[49D0D2]
0049D23B 85DB          test ebx,ebx
0049D23D 74 2B          je short 0049D26A
0049D23F F7C3 00000080 test ebx,80000000
0049D245 75 04          jnz short 0049D24B
0049D247 01D3          add ebx,edx
0049D249 43             inc ebx
0049D24A 43             inc ebx
0049D24B 81E3 FFFFFF0F and ebx,0FFFFFFF
0049D251 53             push ebx
0049D252 FF35 CED04900 push dword ptr ds:[49D0CE]
0049D258 B8 44D04900    mov eax,49D044
0049D25D FF10          call dword ptr ds:[eax]
0049D25F 8907          mov dword ptr ds:[edi],eax
0049D261 8305 D2D04900 0>add dword ptr ds:[49D0D2],4
0049D268 EB AE          jmp short 0049D218
0049D26A 83C6 14       add esi,14
0049D26D BA 00004000    mov edx,400000
0049D272 E9 6EFFFFFF    jmp 0049D1E5
//循环处理输入表

0049D277 68 54D04900    push 49D054 ; ASCII "KERNEL32.DLL"
0049D27C B8 48D04900    mov eax,49D048
0049D281 FF10          call dword ptr ds:[eax]
0049D283 68 BFD04900    push 49D0BF ; ASCII "GlobalFree"
0049D288 50             push eax
0049D289 B8 44D04900    mov eax,49D044
0049D28E FF10          call dword ptr ds:[eax]
0049D290 8B15 CAD04900 mov edx,dword ptr ds:[49D0CA]
0049D296 52             push edx
0049D297 FFD0          call eax ; kernel32.GlobalFree

0049D299 61             popad
0049D29A B8 20604700    mov eax,476020
//476020=OEP VA
0049D29F BA EA000000    mov edx,0EA
0049D2A4 B9 15E00000    mov ecx,0E015
0049D2A9 01D1          add ecx,edx
0049D2AB 87CA          xchg edx,ecx
0049D2AD 31DB          xor ebx,ebx
0049D2AF 90             nop
0049D2B0 01C3          add ebx,eax
0049D2B2 90             nop
0049D2B3 31C0          xor eax,eax
0049D2B5 90             nop
0049D2B6 01D0          add eax,edx
0049D2B8 90             nop
0049D2B9 50             push eax
0049D2BA 31C0          xor eax,eax
0049D2BC 01D8          add eax,ebx
0049D2BE 31C9          xor ecx,ecx
0049D2C0 01E1          add ecx,esp
0049D2C2 31D2          xor edx,edx
0049D2C4 01C2          add edx,eax
0049D2C6 83F2 20       xor edx,20
0049D2C9 31C0          xor eax,eax
0049D2CB 39D0          cmp eax,edx
0049D2CD 74 0C          je short 0049D2DB
0049D2CF EB 07          jmp short 0049D2D8
0049D2D1 C3             retn
0049D2D2 EB 04          jmp short 0049D2D8
0049D2D4 C3             retn
0049D2D5 EB 01          jmp short 0049D2D8
0049D2D7 C3             retn
0049D2D8 40             inc eax
0049D2D9 EB F0          jmp short 0049D2CB
0049D2DB 83F0 20       xor eax,20
0049D2DE 51             push ecx
0049D2DF C3             retn
//返回到 0012FFC0

0012FFC0 FFE0          jmp eax  ; Packer.00476020
//飞向光明之巅

―――――――――――――――――――――――――――――――――

00476020 55             push ebp
//OEP
00476021 8BEC          mov ebp,esp
00476023 83C4 F0       add esp,-10
00476026 B8 105E4700    mov eax,475E10
0047602B E8 20FCF8FF    call 00405C50
00476030 A1 448B4700    mov eax,dword ptr ds:[478B44]
00476035 8B00          mov eax,dword ptr ds:[eax]
00476037 E8 A869FEFF    call 0045C9E4
0047603C A1 448B4700    mov eax,dword ptr ds:[478B44]
00476041 8B00          mov eax,dword ptr ds:[eax]
00476043 BA 98604700    mov edx,476098 ; ASCII "!EP (EXE Pack)"
00476048 E8 8F65FEFF    call 0045C5DC

修正Dump.eXe的OEP RVA和Import Table RVA就完成脱壳了。

―――――――――――――――――――――――――――――――――
      ,    _/
      /  _.-~/          \_    ,       青春都一晌
   ( /~ /             \~-._  \
   `\\  _/             \ ~\ )       忍把浮名
_-~~~-.)  )__/;;,.       \_  //'
  /'_,\ --~ \ ~~~-  ,;;\___(  (.-~~~-.       换了脱壳轻狂
`~ _( ,_..--\ (    ,;'' / ~-- /._`\
  /~~//' /' `~\       ) /--.._, )_  `~
  "  `~"  "    `"    /~'`\ `\\~~\
                     "    " "~'  ""

      UnPacKed By :  fly
         2005-07-24 16:00

附件:exe.pack.v1.0.unpacked.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (20)
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 2 楼我也在看看,老大效率比我快多了 2005-7-24 16:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 [!EP (ExE Pack) V1.0 -> Elite Coding Group] signature = 60 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? FF 10 ep_only = true 2005-7-24 16:58 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 4 楼 2005-7-24 17:16 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 5 楼 fly让你们汉化新世纪的弟兄汉化一下啊,默认的字体太难看了,我自己汉化了一个,可惜我的E文不行,只有我自己才看得懂 2005-7-24 18:18 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼看雪论坛有汉化新世纪的兄弟只是他们未必对壳汉化感兴趣 2005-7-24 19:02 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 7 楼没几个E文,应该很快的 2005-7-24 19:04 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 8 楼最初由 baby2008 发布没几个E文,应该很快的有几个好像错误吧附件:packer.by.wolfly.rar 2005-7-24 19:37 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 9 楼 2005-7-24 19:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 “反DASM”不清楚是啥选项 2005-7-24 20:02 0
pepack 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	pepack 11 楼怎么快又被脱了！！！！！！！！ 2005-7-24 20:20 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 12 楼 DASM =disasm 2005-7-24 20:37 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 13 楼 2005-7-24 20:43 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 14 楼第一次“汉化”,只因为上图(左边为原版)显示的实在太难看,不好请开怀大笑！附件:!ep_unpacked_hh.rar 2005-7-24 20:51 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 15 楼想问问fly: 你unpack里的section名称,怎么看上去这么标准?自己修改的?老大,你也太追求完美了吧. 2005-7-24 20:57 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 Delphi程序的区段名都相似呵呵，所以就猜猜 2005-7-24 21:00 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼搞得我还以为你弄到了没压缩的原版呢. 呵呵。压缩壳unpack容易. 我olly打开后,就是直接拉到最下面,retn上f4,就到oep了. 2005-7-24 21:03 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 18 楼呵呵我看还是自己动手丰衣足食阿 2005-7-24 21:15 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 19 楼 2005-7-24 22:22 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 20 楼 2005-7-25 12:01 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 21 楼很不错,不过脱壳好象容易了一点. 2005-7-26 15:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 2 楼我也在看看,老大效率比我快多了 2005-7-24 16:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 [!EP (ExE Pack) V1.0 -> Elite Coding Group] signature = 60 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? FF 10 ep_only = true 2005-7-24 16:58 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 4 楼 2005-7-24 17:16 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 5 楼 fly让你们汉化新世纪的弟兄汉化一下啊,默认的字体太难看了,我自己汉化了一个,可惜我的E文不行,只有我自己才看得懂 2005-7-24 18:18 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼看雪论坛有汉化新世纪的兄弟只是他们未必对壳汉化感兴趣 2005-7-24 19:02 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 7 楼没几个E文,应该很快的 2005-7-24 19:04 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 8 楼最初由 baby2008 发布没几个E文,应该很快的有几个好像错误吧附件:packer.by.wolfly.rar 2005-7-24 19:37 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 9 楼 2005-7-24 19:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 “反DASM”不清楚是啥选项 2005-7-24 20:02 0
pepack 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	pepack 11 楼怎么快又被脱了！！！！！！！！ 2005-7-24 20:20 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 12 楼 DASM =disasm 2005-7-24 20:37 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 13 楼 2005-7-24 20:43 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 14 楼第一次“汉化”,只因为上图(左边为原版)显示的实在太难看,不好请开怀大笑！附件:!ep_unpacked_hh.rar 2005-7-24 20:51 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 15 楼想问问fly: 你unpack里的section名称,怎么看上去这么标准?自己修改的?老大,你也太追求完美了吧. 2005-7-24 20:57 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 Delphi程序的区段名都相似呵呵，所以就猜猜 2005-7-24 21:00 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼搞得我还以为你弄到了没压缩的原版呢. 呵呵。压缩壳unpack容易. 我olly打开后,就是直接拉到最下面,retn上f4,就到oep了. 2005-7-24 21:03 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 18 楼呵呵我看还是自己动手丰衣足食阿 2005-7-24 21:15 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 19 楼 2005-7-24 22:22 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 20 楼 2005-7-25 12:01 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 21 楼很不错,不过脱壳好象容易了一点. 2005-7-26 15:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复