unprackme (unpackme & crackme) v0.9-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

unprackme (unpackme & crackme) v0.9

发表于: 2004-6-3 22:07 8814

unprackme (unpackme & crackme) v0.9

cyclotron

2004-6-3 22:07

8814

最近要考试，没时间继续写壳了，搞了个初级版本，自己感觉功能很弱，看了vcasm兄的壳感觉很棒，等放假了再加入多线程特性。给一个crackme加了壳放上来给有兴趣的兄弟“蹂躏”一下：）大家多提意见哦

点击下载：unprackme v0.9

更新：可以防esp定律了

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・4

免费・6

支持

最新回复 (21)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼兄弟：偶的XP下没能跑起来呀 2004-6-3 22:53 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 3 楼最初由 fly 发布兄弟：偶的XP下没能跑起来呀晕，估计是crackme的问题，试试这个吧点击下载：emcalcu.rar 2004-6-3 22:57 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼或许是兄弟的手脚动的太厉害了 ;) 呵呵，还是没能跑起来 2004-6-3 22:59 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼不行的话我下周到朋友机器上测试一下我是在win2k professional sp3下写的，没在xp上测试过，真不好意思：） 2004-6-3 23:01 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼 fly兄，是什么现象呢，能不能把图贴出来？ 2004-6-3 23:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼没有，什么提示也没有或许是某个异常没能过来，没细看 2004-6-3 23:08 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 8 楼鼓励,兄弟好好干 2004-6-3 23:09 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 9 楼最初由 fly 发布没有，什么提示也没有或许是某个异常没能过来，没细看最初由 vcasm 发布鼓励,兄弟好好干谢谢，我再去测试一下：） 2004-6-3 23:11 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 10 楼装个虚拟机吧完善的壳需要在各个系统都能跑起来,所以最好每个系统都要测试 Win2003系统很多技术就有限制比如调试寄存器的使用,所以多系统测试还是必要的 2004-6-3 23:11 0
leozem 雪币： 211 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	leozem 1 11 楼 Win2003下无反映 2004-6-3 23:16 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 12 楼最初由 leozem 发布 Win2003下无反映我也是 2004-6-3 23:45 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 13 楼最初由 vcasm 发布装个虚拟机吧完善的壳需要在各个系统都能跑起来,所以最好每个系统都要测试 Win2003系统很多技术就有限制比如调试寄存器的使用,所以多系统测试还是必要的我的壳在真98下能跑起来，虚拟机98下却不行。 2004-6-3 23:46 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼最初由老王发布我的壳在真98下能跑起来，虚拟机98下却不行。有一些壳在虚拟机里面跑不起来比如 SVKP 等 2004-6-4 00:00 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 15 楼哈哈我当时做壳的目标就是至少要让虚拟机能跑起来 2004-6-4 00:16 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼最初由 cyclotron 发布晕，估计是crackme的问题，试试这个吧点击下载：emcalcu.rar 刚才去虚拟的2000下看了一下加壳的Win2000计算器不错 lock cmpxchg异常花指令 OEP不难找： 0101BCCE 83C4 48 add esp,48 0101BCD1 FFE0 jmp eax ; emcalc.01012420//飞向光明之巅！输入表没有加密值得一提的是，兄弟“隐藏”(暂且用这个词吧)了大部分资源！如果能够把资源段加密就麻烦了另外：现在似乎保护壳比较火，兄弟放手去做吧，不要太顾虑压缩效果点击下载： UnPacked-2k-calc {cyclotron}！ 2004-6-4 02:40 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 17 楼第一个用Esp定律2分钟，第二个不看Fly的贴俺可脱不出脱神传些经验撒，一般应怎么分析壳啊~! 2004-6-4 13:01 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 18 楼我现在只会一些脱壳的技巧，不会分析哦，晕 2004-6-4 13:05 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 19 楼呵呵，多谢fly和wangshy兄赏脸，计算器的资源我确实压缩了，但是在执行前总是要解压呀，怎样才能起到保护作用呢？第一个unprackme我加壳时没有压缩资源，可能也没有反esp定律，因为压缩资源的过程中发生异常，具体原因我还要调试一下。目前我测试的程序中，有部分程序比如记事本，压缩资源以后资源管理器就不能识别其图标了，但可以正常运行。看来OEP的处理还应该改进一下：） 2004-6-4 13:58 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 20 楼最初由 cyclotron 发布呵呵，多谢fly和wangshy兄赏脸，计算器的资源我确实压缩了，但是在执行前总是要解压呀，怎样才能起到保护作用呢？第一个unprackme我加壳时没有压缩资源，可能也没有反esp定律，因为压缩资源的过程中发生异常，具体原因我还要调试一下。目前我测试的程序中，有部分程序比如记事本，压缩资源以后资源管理器就不能识别其图标了，但可以正常运行。看来OEP的处理还应该改进一下：）我没有VM就不测试了，不过图标我喜欢:D 可以把BCB/Delphi的DFM拷到内存并修改指针，如果Dump就无效，当然出错。怎么反的esp定律？sub esp, 50h破坏堆栈注意XP风格不能压缩。 2004-6-5 19:30 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 21 楼呵呵，多谢forgot兄。最初由 forgot 发布可以把BCB/Delphi的DFM拷到内存并修改指针，如果Dump就无效，当然出错。这个弄起来好像比较麻烦，只有Borland的东东才可以这样搞吗？最初由 forgot 发布怎么反的esp定律？sub esp, 50h破坏堆栈简单的想法，一方面是不断清零DRx，另外在跳到OEP之前将堆栈上移，使程序堆栈和loader堆栈混在一起，这样就没有明显的分界线了最初由 forgot 发布我没有VM就不测试了，不过图标我喜欢:D 类似图标我有很多，喜欢的话我可以发给你 :D 2004-6-6 00:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 22 楼 Borland的DFM保护比较常见,你做的到资源重定位的话可以随便干点什么,参考OBS....(好复杂的名字) 我怎么才想起来esp定律就是DRx....huh,多谢提醒图标发到forgot@army.com或者Q150099182直接发给我好了.:D 2004-6-6 12:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cyclotron

发帖

800

回帖

690

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼兄弟：偶的XP下没能跑起来呀 2004-6-3 22:53 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 3 楼最初由 fly 发布兄弟：偶的XP下没能跑起来呀晕，估计是crackme的问题，试试这个吧点击下载：emcalcu.rar 2004-6-3 22:57 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼或许是兄弟的手脚动的太厉害了 ;) 呵呵，还是没能跑起来 2004-6-3 22:59 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼不行的话我下周到朋友机器上测试一下我是在win2k professional sp3下写的，没在xp上测试过，真不好意思：） 2004-6-3 23:01 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼 fly兄，是什么现象呢，能不能把图贴出来？ 2004-6-3 23:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼没有，什么提示也没有或许是某个异常没能过来，没细看 2004-6-3 23:08 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 8 楼鼓励,兄弟好好干 2004-6-3 23:09 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 9 楼最初由 fly 发布没有，什么提示也没有或许是某个异常没能过来，没细看最初由 vcasm 发布鼓励,兄弟好好干谢谢，我再去测试一下：） 2004-6-3 23:11 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 10 楼装个虚拟机吧完善的壳需要在各个系统都能跑起来,所以最好每个系统都要测试 Win2003系统很多技术就有限制比如调试寄存器的使用,所以多系统测试还是必要的 2004-6-3 23:11 0
leozem 雪币： 211 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	leozem 1 11 楼 Win2003下无反映 2004-6-3 23:16 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 12 楼最初由 leozem 发布 Win2003下无反映我也是 2004-6-3 23:45 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 13 楼最初由 vcasm 发布装个虚拟机吧完善的壳需要在各个系统都能跑起来,所以最好每个系统都要测试 Win2003系统很多技术就有限制比如调试寄存器的使用,所以多系统测试还是必要的我的壳在真98下能跑起来，虚拟机98下却不行。 2004-6-3 23:46 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼最初由老王发布我的壳在真98下能跑起来，虚拟机98下却不行。有一些壳在虚拟机里面跑不起来比如 SVKP 等 2004-6-4 00:00 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 15 楼哈哈我当时做壳的目标就是至少要让虚拟机能跑起来 2004-6-4 00:16 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼最初由 cyclotron 发布晕，估计是crackme的问题，试试这个吧点击下载：emcalcu.rar 刚才去虚拟的2000下看了一下加壳的Win2000计算器不错 lock cmpxchg异常花指令 OEP不难找： 0101BCCE 83C4 48 add esp,48 0101BCD1 FFE0 jmp eax ; emcalc.01012420//飞向光明之巅！输入表没有加密值得一提的是，兄弟“隐藏”(暂且用这个词吧)了大部分资源！如果能够把资源段加密就麻烦了另外：现在似乎保护壳比较火，兄弟放手去做吧，不要太顾虑压缩效果点击下载： UnPacked-2k-calc {cyclotron}！ 2004-6-4 02:40 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 17 楼第一个用Esp定律2分钟，第二个不看Fly的贴俺可脱不出脱神传些经验撒，一般应怎么分析壳啊~! 2004-6-4 13:01 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 18 楼我现在只会一些脱壳的技巧，不会分析哦，晕 2004-6-4 13:05 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 19 楼呵呵，多谢fly和wangshy兄赏脸，计算器的资源我确实压缩了，但是在执行前总是要解压呀，怎样才能起到保护作用呢？第一个unprackme我加壳时没有压缩资源，可能也没有反esp定律，因为压缩资源的过程中发生异常，具体原因我还要调试一下。目前我测试的程序中，有部分程序比如记事本，压缩资源以后资源管理器就不能识别其图标了，但可以正常运行。看来OEP的处理还应该改进一下：） 2004-6-4 13:58 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 20 楼最初由 cyclotron 发布呵呵，多谢fly和wangshy兄赏脸，计算器的资源我确实压缩了，但是在执行前总是要解压呀，怎样才能起到保护作用呢？第一个unprackme我加壳时没有压缩资源，可能也没有反esp定律，因为压缩资源的过程中发生异常，具体原因我还要调试一下。目前我测试的程序中，有部分程序比如记事本，压缩资源以后资源管理器就不能识别其图标了，但可以正常运行。看来OEP的处理还应该改进一下：）我没有VM就不测试了，不过图标我喜欢:D 可以把BCB/Delphi的DFM拷到内存并修改指针，如果Dump就无效，当然出错。怎么反的esp定律？sub esp, 50h破坏堆栈注意XP风格不能压缩。 2004-6-5 19:30 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 21 楼呵呵，多谢forgot兄。最初由 forgot 发布可以把BCB/Delphi的DFM拷到内存并修改指针，如果Dump就无效，当然出错。这个弄起来好像比较麻烦，只有Borland的东东才可以这样搞吗？最初由 forgot 发布怎么反的esp定律？sub esp, 50h破坏堆栈简单的想法，一方面是不断清零DRx，另外在跳到OEP之前将堆栈上移，使程序堆栈和loader堆栈混在一起，这样就没有明显的分界线了最初由 forgot 发布我没有VM就不测试了，不过图标我喜欢:D 类似图标我有很多，喜欢的话我可以发给你 :D 2004-6-6 00:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 22 楼 Borland的DFM保护比较常见,你做的到资源重定位的话可以随便干点什么,参考OBS....(好复杂的名字) 我怎么才想起来esp定律就是DRx....huh,多谢提醒图标发到forgot@army.com或者Q150099182直接发给我好了.:D 2004-6-6 12:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复