首页
社区
课程
招聘
脱hying壳的脚本,测试版。。
发表于: 2005-7-28 16:07 12066

脱hying壳的脚本,测试版。。

2005-7-28 16:07
12066

///////////////////////////////////////////////////////////
//
//  走到oep处,只测试在传神外挂上的hying壳版本
//  选忽略所有异常,执行脚本即可,支持hotcs.exe,main.dat 2个文件
//  感谢forgot的指导,呵呵
//  2005-7-30 17:26 by jskew
//
//
#log

var SetThrPri
var GetProHeap
var mbase
var msize

gpa "SetThreadPriority","Kernel32.dll"
find $RESULT,#C20800#
mov  SetThrPri, $RESULT
bp SetThrPri

GMI eip, MODULEBASE
mov mbase,$RESULT
GMI eip, MODULESIZE
mov msize,$RESULT

esto //从ep开始,脚本开始

rtu
find eip, #2440#
mov GetProHeap,$RESULT
mov [GetProHeap], #2400# //修改GetProcessHeap

find eip, #6A006A006A11# //躲避ZwSetInformationThread破坏
bp $RESULT
esto

mov [GetProHeap], #2440# //恢复GetProcessHeap
bc $RESULT
sti
sti
sti
sti
sti
mov eip,eax
add esp,10

find eip,#6A04680010000068002000006A00# //处理iat代码解码结束
bp $RESULT
esto

bc $RESULT
find eip,#0BC00F84610100000F31# //躲避ZwQueryInformationProcess检查
bp $RESULT
esto

bc $RESULT
mov eax,0
esto

bc SetThrPri
rtu
bprm mbase,msize
esto

bpmc
ret

再修改,支持hotcs.exe文件,没2k3的机器测试,不知道怎么改了

其实我的2k sp4机器上用不了上面的代码,因为我不能停在ep处

这个脚本是对应可以停在ep的机器


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (24)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
看不懂-看不懂
2005-7-28 16:24
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
3
支持新版?
2005-7-28 16:27
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
4
我啥也没做,感谢啥?
2005-7-28 16:30
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
可以到

http://bbs.92wy.com/forumdisplay.php?fid=52

下一个最新的传神外挂,我在win2k下,测试199,199a,199b通过

只是我的不能停在ep处,别人的可以,如果你不可以就自己把这里改下
先把events,make first pause 改成system breakpoint

var ZwSetInfo
var SetThrPri
var GetProHeap
var mbase
var msize

gpa "ZwSetInformationThread","ntdll.dll"
mov  ZwSetInfo, $RESULT

gpa "SetThreadPriority","Kernel32.dll"
find $RESULT,#C20800#
mov  SetThrPri, $RESULT
bp SetThrPri

bp ZwSetInfo
esto

bc ZwSetInfo
find ZwSetInfo, #C21000#
mov eip, $RESULT
esto //过ZwSetInfo

GMI eip, MODULEBASE
mov mbase,$RESULT
GMI eip, MODULESIZE
mov msize,$RESULT

esto //从ep开始,脚本开始
2005-7-28 16:31
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
也许很多人没看到我处理drx,怀疑是不是能脱最新版本

我的第一个断点在处理drx之后,也就是drx对我不够成威胁。。

躲避了drx检测

感谢就感谢,怎么那么多问题呢。。。
2005-7-28 16:56
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
7
XP SP2下用脚本运行所提例子
例子自动退出
2005-7-28 17:01
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
   
2005-7-28 17:02
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
9
设置暂停在系统断点
运行脚本

            IsDebugPresent hidden
7C810856  New thread with ID 00000DF8 created
003C00A5  INT3 command at 003C00A5
003C00DC  Access violation when reading [00000000]
003C0119  INT3 command at 003C0119
003C0171  INT3 command at 003C0171
003C02A2  Access violation when reading [00000000]
003C0336  INT3 command at 003C0336
003C03F0  INT3 command at 003C03F0
003C04A0  Access violation when reading [00000000]
003C055B  Access violation when reading [00000000]
003C06DF  Access violation when reading [00000000]
003C0772  Access violation when reading [00000000]
003C089B  Access violation when reading [00000000]
003C08E1  Access violation when reading [00000000]
003C0951  INT3 command at 003C0951
003C0A2A  Access violation when reading [00000000]
003C0A70  Access violation when reading [00000000]
003C0BAB  INT3 command at 003C0BAB
003C0BE2  Access violation when reading [00000000]
003C0C96  Access violation when reading [00000000]
003C0D1B  Access violation when reading [00000000]
003C0DC6  INT3 command at 003C0DC6
003C0F1F  Access violation when reading [00000000]
003C0F63  INT3 command at 003C0F63
003C1013  Access violation when reading [00000000]
003C1050  INT3 command at 003C1050
003C1100  Access violation when reading [00000000]
003C120B  Access violation when reading [00000000]
003C1262  INT3 command at 003C1262
003C12BC  Access violation when reading [00000000]
003C1302  Access violation when reading [00000000]
003C1348  Access violation when reading [00000000]
003C1508  INT3 command at 003C1508
003C157E  Access violation when reading [00000000]
003C161B  Access violation when reading [00000000]
003C16C6  Access violation when reading [00000000]
003C1703  INT3 command at 003C1703
003C17B4  Access violation when reading [00000000]
003C17F8  INT3 command at 003C17F8
003C182F  Access violation when reading [00000000]
003C186E  Access violation when reading [00000000]
003C1B19  INT3 command at 003C1B19
003C1C19  INT3 command at 003C1C19
003C1C7F  Access violation when reading [00000000]
003C1D58  Access violation when reading [00000000]
003C1D9C  INT3 command at 003C1D9C
003C1DE1  INT3 command at 003C1DE1

……
2005-7-28 18:07
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
   
2005-7-28 18:22
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
11
先加精
希望修改成也可以在XP下用的
2005-7-29 21:27
0
雪    币: 557
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
12
退出是正常的,继续努力!!!!!!!!成功就在你的眼前.变换"角度"就可以过全部平台了:-)
2005-7-30 10:31
0
雪    币: 111
活跃值: (55)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
支持楼主一下
2005-7-30 10:51
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
14
   
2005-7-30 16:29
0
雪    币: 557
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
15

代码还得改进:-),不能在win2003下运行
2005-7-30 16:36
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
16
最初由 loveboom 发布

代码还得改进:-),不能在win2003下运行


2005-7-30 17:26
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
   
2005-7-30 17:30
0
雪    币: 184
活跃值: (108)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
18
新版的好像只能到IAT加密以前的.
loveboom的脚本也是跑这里就下不去了.
http://down.jxangel.com/556W9.exe
这个挂挂是最新的,测试一下看??
2005-7-30 18:54
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
19
走到了oep,为了能对齐指令,我多加了一个nop

可是我的脚本没修复iat功能,dump功能。。

00423F5A    5F              POP EDI
00423F5B    5D              POP EBP
00423F5C    C3              RETN
00423F5D    0000            ADD [EAX],AL
00423F5F    0000            ADD [EAX],AL
00423F61    0000            ADD [EAX],AL
00423F63    0000            ADD [EAX],AL
00423F65    0000            ADD [EAX],AL
00423F67    0000            ADD [EAX],AL
00423F69    0000            ADD [EAX],AL
00423F6B    90              NOP
00423F6C    64:A1 00000000  MOV EAX,FS:[0]      ;伪oep
00423F72    50              PUSH EAX
00423F73    64:8925 0000000>MOV FS:[0],ESP
00423F7A    83EC 58         SUB ESP,58
00423F7D    53              PUSH EBX
00423F7E    56              PUSH ESI
00423F7F    57              PUSH EDI
00423F80    8965 E8         MOV [EBP-18],ESP
00423F83    90              NOP
00423F84    E8 21CCF2FF     CALL 00350BAA      ;又进壳里,不知道干什么..
00423F89    33D2            XOR EDX,EDX
00423F8B    8AD4            MOV DL,AH
00423F8D    8915 8C9F4500   MOV [459F8C],EDX
00423F93    8BC8            MOV ECX,EAX
00423F95    81E1 FF000000   AND ECX,0FF

2005-7-30 19:06
0
雪    币: 184
活跃值: (108)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
20
呵呵,loveboom的脚本也能顺利的跑这里,下面很长一节都还要往壳里面跑,新版看样子又BT很多.

这个版本的时间检查比老版本少很多,就2个地方了,时间也调到4000了,老版本的2000,再就是乱序IAT很难缠.
2005-7-30 19:25
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
21
   
2005-7-30 19:30
0
雪    币: 1126
活跃值: (156)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
22
怎么不讨论了呢??我看好像这样就不异常了。
即使这样,离脱壳还远着呢,IAT的处理?
//=========================================================
//解决OutputDebugStringA问题
//var fnOutputDebugStringA//自行定义
gpa "OutputDebugStringA","Kernel32.dll"
mov fnOutputDebugStringA,$RESULT
mov [fnOutputDebugStringA],#8BFFC204#//mov edi,edi
add fnOutputDebugStringA,4
mov [fnOutputDebugStringA],#00#//retn 4
//=========================================================
//stolen byte(s)
//查找入口
bp fnSetThreadPriority//为原文档中的SetThrPri,我习惯我的风格
esto
bc  fnSetThreadPriority
rtu

mov OEPFinder,eip
and OEPFinder,FFFFF000//?忘记了,VirtualAlloc是1000对齐还是10000对齐
loop_finding:
find OEPFinder,#6150#//POPAD,PUSH EAX
cmp $RESULT, 0
sub OEPFinder,1000
je loop_finding
mov OEP,$RESULT//保存临时结果
sub OEPFinder,1000
find OEPFinder,#6150#
cmp $RESULT, 0
je end_find
mov OEP,$RESULT
end_find:
bp OEP
esto
bc OEP
sti//POPAD, 到此处到stolen byte(s)已经很近了,
   //此处已经堆栈平衡
2005-8-7 20:11
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
23
我已经脱完修复好了,在忙破解,等破解完,有时间整理再发

可以找下面的帖子看看,说的非常详细

window的“hying 0.7x的脱壳过程”

loveboom的“Hying's pelock v0.7x脚本”

hnhuqiong的“某人最新 0.7x完整分析”
2005-8-7 21:35
0
雪    币: 1266
活跃值: (622)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
loveboom的图片是最清晰的。怎么处理的。
2005-8-7 21:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
有事要请教楼主,能否跟我联系一下。QQ:114622514
msn:franktao2002@msn.com
2006-1-4 13:32
0
游客
登录 | 注册 方可回帖
返回
//