能力值:
( LV2,RANK:10 )
2 楼
看不懂-看不懂
能力值:
( LV9,RANK:3410 )
3 楼
支持新版?
能力值:
(RANK:1060 )
4 楼
我啥也没做,感谢啥?
能力值:
( LV4,RANK:50 )
5 楼
可以到
http://bbs.92wy.com/forumdisplay.php?fid=52
下一个最新的传神外挂,我在win2k下,测试199,199a,199b通过
只是我的不能停在ep处,别人的可以,如果你不可以就自己把这里改下
先把events,make first pause 改成system breakpoint
var ZwSetInfo
var SetThrPri
var GetProHeap
var mbase
var msize
gpa "ZwSetInformationThread","ntdll.dll"
mov ZwSetInfo, $RESULT
gpa "SetThreadPriority","Kernel32.dll"
find $RESULT,#C20800#
mov SetThrPri, $RESULT
bp SetThrPri
bp ZwSetInfo
esto
bc ZwSetInfo
find ZwSetInfo, #C21000#
mov eip, $RESULT
esto //过ZwSetInfo
GMI eip, MODULEBASE
mov mbase,$RESULT
GMI eip, MODULESIZE
mov msize,$RESULT
esto //从ep开始,脚本开始
能力值:
( LV4,RANK:50 )
6 楼
也许很多人没看到我处理drx,怀疑是不是能脱最新版本
我的第一个断点在处理drx之后,也就是drx对我不够成威胁。。
躲避了drx检测
感谢就感谢,怎么那么多问题呢。。。
能力值:
( LV9,RANK:3410 )
7 楼
XP SP2下用脚本运行所提例子
例子自动退出
能力值:
( LV4,RANK:50 )
8 楼
能力值:
( LV9,RANK:3410 )
9 楼
设置暂停在系统断点
运行脚本
IsDebugPresent hidden
7C810856 New thread with ID 00000DF8 created
003C00A5 INT3 command at 003C00A5
003C00DC Access violation when reading [00000000]
003C0119 INT3 command at 003C0119
003C0171 INT3 command at 003C0171
003C02A2 Access violation when reading [00000000]
003C0336 INT3 command at 003C0336
003C03F0 INT3 command at 003C03F0
003C04A0 Access violation when reading [00000000]
003C055B Access violation when reading [00000000]
003C06DF Access violation when reading [00000000]
003C0772 Access violation when reading [00000000]
003C089B Access violation when reading [00000000]
003C08E1 Access violation when reading [00000000]
003C0951 INT3 command at 003C0951
003C0A2A Access violation when reading [00000000]
003C0A70 Access violation when reading [00000000]
003C0BAB INT3 command at 003C0BAB
003C0BE2 Access violation when reading [00000000]
003C0C96 Access violation when reading [00000000]
003C0D1B Access violation when reading [00000000]
003C0DC6 INT3 command at 003C0DC6
003C0F1F Access violation when reading [00000000]
003C0F63 INT3 command at 003C0F63
003C1013 Access violation when reading [00000000]
003C1050 INT3 command at 003C1050
003C1100 Access violation when reading [00000000]
003C120B Access violation when reading [00000000]
003C1262 INT3 command at 003C1262
003C12BC Access violation when reading [00000000]
003C1302 Access violation when reading [00000000]
003C1348 Access violation when reading [00000000]
003C1508 INT3 command at 003C1508
003C157E Access violation when reading [00000000]
003C161B Access violation when reading [00000000]
003C16C6 Access violation when reading [00000000]
003C1703 INT3 command at 003C1703
003C17B4 Access violation when reading [00000000]
003C17F8 INT3 command at 003C17F8
003C182F Access violation when reading [00000000]
003C186E Access violation when reading [00000000]
003C1B19 INT3 command at 003C1B19
003C1C19 INT3 command at 003C1C19
003C1C7F Access violation when reading [00000000]
003C1D58 Access violation when reading [00000000]
003C1D9C INT3 command at 003C1D9C
003C1DE1 INT3 command at 003C1DE1
……
能力值:
( LV4,RANK:50 )
10 楼
能力值:
( LV9,RANK:3410 )
11 楼
先加精
希望修改成也可以在XP下用的
能力值:
( LV9,RANK:2130 )
12 楼
退出是正常的,继续努力!!!!!!!!成功就在你的眼前.变换"角度"就可以过全部平台了:-)
能力值:
( LV4,RANK:50 )
13 楼
支持楼主一下
能力值:
( LV4,RANK:50 )
14 楼
能力值:
( LV9,RANK:2130 )
15 楼
代码还得改进:-),不能在win2003下运行
能力值:
( LV12,RANK:2670 )
16 楼
最初由 loveboom 发布 代码还得改进:-),不能在win2003下运行
能力值:
( LV4,RANK:50 )
17 楼
能力值:
( LV9,RANK:410 )
18 楼
新版的好像只能到IAT加密以前的.
loveboom的脚本也是跑这里就下不去了.
http://down.jxangel.com/556W9.exe
这个挂挂是最新的,测试一下看??
能力值:
( LV4,RANK:50 )
19 楼
走到了oep,为了能对齐指令,我多加了一个nop
可是我的脚本没修复iat功能,dump功能。。
00423F5A 5F POP EDI
00423F5B 5D POP EBP
00423F5C C3 RETN
00423F5D 0000 ADD [EAX],AL
00423F5F 0000 ADD [EAX],AL
00423F61 0000 ADD [EAX],AL
00423F63 0000 ADD [EAX],AL
00423F65 0000 ADD [EAX],AL
00423F67 0000 ADD [EAX],AL
00423F69 0000 ADD [EAX],AL
00423F6B 90 NOP
00423F6C 64:A1 00000000 MOV EAX,FS:[0] ;伪oep
00423F72 50 PUSH EAX
00423F73 64:8925 0000000>MOV FS:[0],ESP
00423F7A 83EC 58 SUB ESP,58
00423F7D 53 PUSH EBX
00423F7E 56 PUSH ESI
00423F7F 57 PUSH EDI
00423F80 8965 E8 MOV [EBP-18],ESP
00423F83 90 NOP
00423F84 E8 21CCF2FF CALL 00350BAA ;又进壳里,不知道干什么..
00423F89 33D2 XOR EDX,EDX
00423F8B 8AD4 MOV DL,AH
00423F8D 8915 8C9F4500 MOV [459F8C],EDX
00423F93 8BC8 MOV ECX,EAX
00423F95 81E1 FF000000 AND ECX,0FF
能力值:
( LV9,RANK:410 )
20 楼
呵呵,loveboom的脚本也能顺利的跑这里,下面很长一节都还要往壳里面跑,新版看样子又BT很多.
这个版本的时间检查比老版本少很多,就2个地方了,时间也调到4000了,老版本的2000,再就是乱序IAT很难缠.
能力值:
( LV4,RANK:50 )
21 楼
能力值:
( LV9,RANK:210 )
22 楼
怎么不讨论了呢??我看好像这样就不异常了。
即使这样,离脱壳还远着呢,IAT的处理?
//=========================================================
//解决OutputDebugStringA问题
//var fnOutputDebugStringA//自行定义
gpa "OutputDebugStringA","Kernel32.dll"
mov fnOutputDebugStringA,$RESULT
mov [fnOutputDebugStringA],#8BFFC204#//mov edi,edi
add fnOutputDebugStringA,4
mov [fnOutputDebugStringA],#00#//retn 4
//=========================================================
//stolen byte(s)
//查找入口
bp fnSetThreadPriority//为原文档中的SetThrPri,我习惯我的风格
esto
bc fnSetThreadPriority
rtu
mov OEPFinder,eip
and OEPFinder,FFFFF000//?忘记了,VirtualAlloc是1000对齐还是10000对齐
loop_finding:
find OEPFinder,#6150#//POPAD,PUSH EAX
cmp $RESULT, 0
sub OEPFinder,1000
je loop_finding
mov OEP,$RESULT//保存临时结果
sub OEPFinder,1000
find OEPFinder,#6150#
cmp $RESULT, 0
je end_find
mov OEP,$RESULT
end_find:
bp OEP
esto
bc OEP
sti//POPAD, 到此处到stolen byte(s)已经很近了,
//此处已经堆栈平衡
能力值:
( LV4,RANK:50 )
23 楼
我已经脱完修复好了,在忙破解,等破解完,有时间整理再发
可以找下面的帖子看看,说的非常详细
window的“hying 0.7x的脱壳过程”
loveboom的“Hying's pelock v0.7x脚本”
hnhuqiong的“某人最新 0.7x完整分析”
能力值:
( LV2,RANK:10 )
24 楼
loveboom的图片是最清晰的。怎么处理的。
能力值:
( LV2,RANK:10 )
25 楼
有事要请教楼主,能否跟我联系一下。QQ:114622514
msn:franktao2002@msn.com