能力值:
( LV9,RANK:3410 )
2 楼
你认真学习别人的教程了没有?
能力值:
( LV2,RANK:10 )
3 楼
几乎关于SDProtect脱壳的文章我都看了,感觉大家说的不是很通俗,对初学者来说有点困难!
比如--运行 UnhandleExceptionFilter 插件(每次运行脚本前都须先运行这个插件。原因不赘述,这里我就不明白,我运行这个插件。提示-ReadMeMory failed 错误,到这里就用不了脚本了,能教教我吗?谢谢
能力值:
( LV9,RANK:3410 )
4 楼
脚本未必就适合你的软件
关键是要学会自己手脱
一句老话:新手学习从简单的压缩壳开始
能力值:
( LV2,RANK:10 )
5 楼
简单的压缩壳,UPX,ASPack,象这样的壳,有的脱壳机能脱,有的脱壳机脱不了,是什么原因啊!
脱不了的,就需要手动脱壳了吧
能力值:
( LV7,RANK:100 )
6 楼
最初由 haosongyan 发布 简单的压缩壳,UPX,ASPack,象这样的壳,有的脱壳机能脱,有的脱壳机脱不了,是什么原因啊! 脱不了的,就需要手动脱壳了吧
脱壳机不是万能.手动才是硬道理~
能力值:
( LV9,RANK:290 )
7 楼
to楼主:要一步一个脚印
能力值:
( LV12,RANK:980 )
8 楼
只要认真看看教程应该没问题的。
能力值:
( LV2,RANK:10 )
9 楼
今天看了适合初学者的文章,感觉受益非浅,一定认真学习
能力值:
( LV2,RANK:10 )
10 楼
什么啊!---
能力值:
( LV12,RANK:980 )
11 楼
入口被移走的代码:
00434644 > 55 PUSH EBP
00434645 8BEC MOV EBP,ESP
00434647 6A FF PUSH -1
00434649 68 80FC4300 PUSH 43FC80
0043464E 68 A2474300 PUSH 4347A2
能力值:
( LV2,RANK:10 )
12 楼
入口被移走的代码:
00434644 > 55 PUSH EBP
00434645 8BEC MOV EBP,ESP
00434647 6A FF PUSH -1
00434649 68 80FC4300 PUSH 43FC80
0043464E 68 A2474300 PUSH 4347A2
我想问问,注册表加密要怎么修复啊,
还有自校验,应该在那里去除啊,
能力值:
( LV2,RANK:10 )
13 楼
我现在也感觉自校验很讨厌-一时还真的找不到在哪里改
能力值:
( LV2,RANK:10 )
14 楼
入口被移走的代码:
00434644 > 55 PUSH EBP
00434645 8BEC MOV EBP,ESP
00434647 6A FF PUSH -1
00434649 68 80FC4300 PUSH 43FC80
0043464E 68 A2474300 PUSH 4347A2
我是个初学者,想问个问题,请大家不要笑话,
我在用OD加载这个软件的时候最上面一行的地址是
00563000
而用W32Dasm反编译软件,最上面一行的地址是
00526000 根本没有找到
入口被移走的代码:
00434644 > 55 PUSH EBP
00434645 8BEC MOV EBP,ESP
00434647 6A FF PUSH -1
00434649 68 80FC4300 PUSH 43FC80
0043464E 68 A2474300 PUSH 4347A2
这些地址,请问,这是为什么啊!
能力值:
( LV12,RANK:980 )
15 楼
00526000是壳的入口地址
434644是程序真正的入口地址
能力值:
( LV2,RANK:10 )
16 楼
【下载地址】:http://www.jxwg.com/mir2/ (2511)
【操作系统】:WINXP 一、查找入口
var seh
var mess
//#log
eoe aman1
eob aman1
run
aman1:
add seh,1
log seh
cmp seh,a //第10次中断时跳转。
je stop1
esto stop1:
coe
cob
mov seh,0
bp 5aff4c
esto
bc eip
mov !zf,1
sti
run
bp 5b0194 //子进程与父进程分流处。
esto
bc eip
mov eip,5b02a8 //直接跳过创建子进程,强行让父进程以子进程运行。
eoe aman2
eob aman2
run aman2:
add seh,1
log seh
cmp seh,28 //我的好象是28 ,
je stop3
esto
stop3:
coe
cob
ret
运行脚本后,程序直接运行了。看LOG记录:
记录数据
地址 信息
O11yDbg V1.10
Asm2Clipboard PlugIn v0.1
Written by FaTmiKE 2oo4
I used code snippets from ExtraCopy PlugIn v1.0 by Regon
...so thanks to Regon for his great job!
书签 - 示范插件 v1.06 (插件演示)
版权所有 (C) 2001, 2002 Oleh Yuschuk
CleanupEx v1.12.108 by Gigapede
CommandBar v3.00.108
Originary Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn
命令行插件 V1.01
作者:Oleh Yuschuk
ExtraCopy plugin v0.90 by Regon
GODUP ver 1.2 by godfather+ - Delphi edition
Hide Caption v1.00 by Gigapede
Hide Debugger <An error occurred>
Hide Debugger v1.2
Copyright (c) 2004 by Asterix
IsDebugPresent plugin v1.4 (SV 2oo3)
Labeler v1.31
Labelmaster plugin v0.1
Copyright (C) 2004 Joe Stewart
LoadMap version 0.1 by lgx/iPB loaded
MapConv ver 1.4 by godfather+, TBD and SHaG
MemoryManage beta
Copyright (C) 2004 pLayAr
Any suggestion please mail to playar0709@21cn.net
OllyDump v2.21.108 by Gigapede
OllyHelper v1.3 by cygwin@smth
OllyMachine v0.20
Written by Luo Cong
Compiled on Dec 7 2004 14:32:15
OllyScript v0.92
Written by SHaG
OllyDbg PE Dumper v3.01 by FKMA
置顶显示插件 v1.0; 编译于 2002年4月21日 22:23:20 CET
Copyright (C) 2002 Matthijs Laan <matthijsln@xs4all.nl>
prince's TracKit plugin V1.10 (beta)
Copyright (C) 2004-2005 prince
Ultra String Reference v0.11
Written by Luo Cong
Compiled on Jul 27 2004 18:45:17
WatchMan v1.00 by Gigapede
WindowInfos plugin for Olly - v 0.1
by DDM/FFF
窗口工具 OD插件 v0.06 BETA
Coded by EsseEmme
Handle UnhandledExceptionFilter
句柄异常过滤器
正在扫描导入库:E:\UnPack\flyODBG\Lib\mfc71.Lib
无法打开导入库
正在扫描导入库:E:\UnPack\flyODBG\Lib\MFC42.Lib
无法打开导入库
文件 'E:\Documents and Settings\Administrator\桌面\Mir2Facility.exe'
ID 00000850 的新进程已经创建
005AF000 ID 00000854 的主要线程已经创建
00400000 模块 E:\Documents and Settings\Administrator\桌面\Mir2Facility.exe
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
005AF000 程序入口点
IsDebugPresent hidden
005AF07A 单步事件位于 Mir2Faci.005AF07A
seh = 00000001
005B44FA INT3 命令在 Mir2Faci.005B44FA
seh = 00000002
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000003
77D10000 模块 C:\WINDOWS\system32\user32.dll
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
77DA0000 模块 C:\WINDOWS\system32\ADVAPI32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000004
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000005
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000006
005AF8F8 INT3 命令在 Mir2Faci.005AF8F8
seh = 00000007
005AFB3A INT3 命令在 Mir2Faci.005AFB3A
seh = 00000008
005AFD54 单步事件位于 Mir2Faci.005AFD54
seh = 00000009
005AFEFA 单步事件位于 Mir2Faci.005AFEFA
seh = 0000000A
005AFF4C 中断在 Mir2Faci.005AFF4C
005B013D 单步事件位于 Mir2Faci.005B013D
005B0194 中断在 Mir2Faci.005B0194
005B0431 INT3 命令在 Mir2Faci.005B0431
seh = 00000001
005B0673 INT3 命令在 Mir2Faci.005B0673
seh = 00000002
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000003
005B0A35 单步事件位于 Mir2Faci.005B0A35
seh = 00000004
005B44FA INT3 命令在 Mir2Faci.005B44FA
seh = 00000005
005B0CCA INT3 命令在 Mir2Faci.005B0CCA
seh = 00000006
005B0F0C INT3 命令在 Mir2Faci.005B0F0C
seh = 00000007
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000008
005B12AF INT3 命令在 Mir2Faci.005B12AF
seh = 00000009
005B150F INT3 命令在 Mir2Faci.005B150F
seh = 0000000A
005B21FF 访问违反: 写入到 [00000000]
005B23C3 INT3 命令在 Mir2Faci.005B23C3
seh = 0000000B
005B2605 INT3 命令在 Mir2Faci.005B2605
seh = 0000000C
005B44FA INT3 命令在 Mir2Faci.005B44FA
seh = 0000000D
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 0000000E
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 0000000F
005B29F4 访问违反: 读取 [FFFFFFFF]
005B2BCE 单步事件位于 Mir2Faci.005B2BCE
seh = 00000010
005B44FA INT3 命令在 Mir2Faci.005B44FA
seh = 00000011
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
76680000 模块 C:\WINDOWS\system32\WININET.dll
765E0000 模块 C:\WINDOWS\system32\CRYPT32.dll
76DB0000 模块 C:\WINDOWS\system32\MSASN1.dll
770F0000 模块 C:\WINDOWS\system32\OLEAUT32.dll
76990000 模块 C:\WINDOWS\system32\ole32.dll
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000012
77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000013
76B10000 模块 C:\WINDOWS\system32\WINMM.dll
73D30000 模块 C:\WINDOWS\system32\MFC42.DLL
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000014
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000015
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000016
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000017
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000018
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000019
61BE0000 模块 C:\WINDOWS\system32\MFC42LOC.DLL
7D590000 模块 C:\WINDOWS\system32\SHELL32.dll
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 0000001A
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 0000001B
5D170000 模块 C:\WINDOWS\system32\comctl32.dll
71A40000 模块 C:\WINDOWS\system32\WSOCK32.dll
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 0000001C
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 0000001D
005B2D33 单步事件位于 Mir2Faci.005B2D33
seh = 0000001E
005B2ED4 单步事件位于 Mir2Faci.005B2ED4
seh = 0000001F
005B48E2 单步事件位于 Mir2Faci.005B48E2
seh = 00000020
005B308A INT3 命令在 Mir2Faci.005B308A
seh = 00000021
005B32D0 INT3 命令在 Mir2Faci.005B32D0
seh = 00000022
005B3512 单步事件位于 Mir2Faci.005B3512
seh = 00000023
005B36D3 INT3 命令在 Mir2Faci.005B36D3
seh = 00000024
005B3919 INT3 命令在 Mir2Faci.005B3919
seh = 00000025
005B3C00 INT3 命令在 Mir2Faci.005B3C00
seh = 00000026
005B3E46 INT3 命令在 Mir2Faci.005B3E46
seh = 00000027
005B407A 单步事件位于 Mir2Faci.005B407A
seh = 00000028 当程序第28次中断后
005B407A 64:8F00 pop dword ptr fs:[eax] ///停在这里。 ; 0012FFE0
005B407D 5B pop ebx
005B407E E8 010000>call Mir2Faci.005B4084
005B4083 FF58 05 call far fword ptr ds:[eax+5]
005B4086 6BFF FF imul edi,edi,-1
005B4089 FF80 38E9>inc dword ptr ds:[eax+8775E938]
005B408F C600 E8 mov byte ptr ds:[eax],0E8
005B4092 9D popfd
005B4093 61 popad
005B4094 C3 retn 在005B407E处F7后,代码如下:
005B4084 58 pop eax ; Project2.004F4083
005B4085 05 6BFFFFFF add eax,-95
005B408A 8038 E9 cmp byte ptr ds:[eax],0E9///单步跟踪检测。
005B408D ^ 75 87 jnz short 004F4016 ///不能跳。修改标志位不让跳转。
005B408F C600 E8 mov byte ptr ds:[eax],0E8///恢复代码。
005B4092 9D popfd
005B4093 61 popad
005B4094 C3 retn///返回。
0047ED53 C3 retn///连续60个左右retn
004C5222 0000 add byte ptr ds:[eax],al ? ? 这里是入口点?
004C5224 0000 add byte ptr ds:[eax],al
004C5226 0000 add byte ptr ds:[eax],al
004C5228 E8 44610F>call Mir2Faci.005BB371 /// 所有retn后到这里
004C522D 8BE0 mov esp,eax
004C522F 9D popfd
004C5230 61 popad
004C5231 64:A1 000>mov eax,dword ptr fs:[0]
004C5237 50 push eax
004C5238 64:8925 0>mov dword ptr fs:[0],esp
004C523F 83EC 68 sub esp,68
004C5242 53 push ebx
004C5243 56 push esi
004C5244 57 push edi
004C5245 8965 E8 mov dword ptr ss:[ebp-18],esp
004C5248 33DB xor ebx,ebx
004C524A 895D FC mov dword ptr ss:[ebp-4],ebx
004C524D 6A 02 push 2
004C524F FF15 9C6D>call dword ptr ds:[4D6D9C] ; msvcrt.__set_app_type
004C5255 59 pop ecx
004C5256 830D 8416>or dword ptr ds:[511684],FFFFFFFF
004C525D 830D 8816>or dword ptr ds:[511688],FFFFFFFF
004C5264 FF15 986D>call dword ptr ds:[4D6D98] ; msvcrt.__p__fmode
004C526A 8B0D 7816>mov ecx,dword ptr ds:[511678]
004C5270 8908 mov dword ptr ds:[eax],ecx 到这后,用ONLLY DUMP插件'脱壳当前调试的进程',把握个区都改为读,写,共享,包含代码,数据,然后点'脱壳'。提示[[不能读4000000
---5ACFFFF的地址]] 卡壳了,哈哈
请指点
能力值:
( LV2,RANK:10 )
17 楼
谢谢,朋友指教
能力值:
( LV2,RANK:10 )
18 楼
请问要怎么能到达程序的真正入口
能力值:
( LV12,RANK:980 )
19 楼
教程里面写得很清楚了
能力值:
( LV2,RANK:10 )
20 楼
你的教程我看了好几遍了,能给点具体的钟队我脱的程序给点指导吗?哈哈小弟是新手请你别烦
能力值:
( LV2,RANK:10 )
21 楼
精彩,但是最后的问题好象大家没有帮助的资料啊!
能力值:
( LV12,RANK:980 )
22 楼
入口代码被移走了,找到入口代码补上就行了。
能力值:
( LV2,RANK:10 )
23 楼
入口被移走的代码:
00434644 > 55 PUSH EBP
00434645 8BEC MOV EBP,ESP
00434647 6A FF PUSH -1
00434649 68 80FC4300 PUSH 43FC80
0043464E 68 A2474300 PUSH 4347A2
434644是程序真正的入口地址
请问,要怎么能到达这个入口,
IAT的RAV的大小是多少?
能力值:
( LV12,RANK:980 )
24 楼
to 16楼的兄弟:
004C5222 > 55 PUSH EBP //入口代码
004C5223 8BEC MOV EBP,ESP
004C5225 6A FF PUSH -1
004C5227 68 C0314E00 PUSH 4E31C0
004C522C 68 80534C00 PUSH 4C5380
004C5231 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004C5237 50 PUSH EAX
004C5238 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004C523F 83EC 68 SUB ESP,68
004C5242 53 PUSH EBX
004C5243 56 PUSH ESI
004C5244 57 PUSH EDI
004C5245 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
能力值:
( LV2,RANK:10 )
25 楼
楼上的朋友,你曾经是15楼说过
00526000是壳的入口地址
434644是程序真正的入口地址 现在你又说,
004C5222 > 55 PUSH EBP //入口代码
004C5223 8BEC MOV EBP,ESP
004C5225 6A FF PUSH -1
004C5227 68 C0314E00 PUSH 4E31C0
004C522C 68 80534C00 PUSH 4C5380
004C5231 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004C5237 50 PUSH EAX
004C5238 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004C523F 83EC 68 SUB ESP,68
004C5242 53 PUSH EBX
004C5243 56 PUSH ESI
004C5244 57 PUSH EDI
004C5245 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
我没有弄明白啊!