EncryptPE 2005.9.10脱壳脚本,是不是s都可以-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

EncryptPE 2005.9.10脱壳脚本,是不是s都可以

发表于: 2005-9-19 18:19 20057

EncryptPE 2005.9.10脱壳脚本,是不是s都可以

netsowell

2005-9-19 18:19

20057

//用的OllyMachine
invoke msg, "哈哈!现在我要开始运行啦，保存好当前工作，有可能要关闭explorer.exe哦!"
invoke BPHWS, 0x711E3FF6, 1
invoke ESTO
invoke BPHWC 0x711E3FF6
invoke WriteMemHexes, 0x711E3FF6, "EB"
invoke WriteMemHexes, 0x711E5958, "9090"
invoke BPHWS, 0x711E596D, 1
invoke ESTO
invoke BPHWC 0x711E596D
invoke WriteMemHexes, 0x711E3FF6, "74"
invoke WriteMemHexes, 0x711E5958, "7513"
invoke WriteMemHexes, 0x711E5976, "9090"
invoke WriteMemHexes, 0x711E5981, "EB"
invoke BPHWS, 0x711E5AED, 1
invoke ESTO
invoke BPHWC 0x711E5AED
invoke WriteMemHexes, 0x711E5AED, "9090909090909090909090"
invoke WriteMemHexes, 0x711E5B20, "9090"
invoke WriteMemHexes, 0x711E5B2C, "9090909090909090909090"
invoke WriteMemHexes, 0x711E5B5E, "9090"
invoke WriteMemHexes, 0x711E5C38, "13"
invoke WriteMemHexes, 0x711E5C4A, "13"
invoke WriteMemHexes, 0x711E5C51, "909090909090"
invoke WriteMemHexes, 0x711E5C63, "9090909090"
invoke WriteMemHexes, 0x711E5C8D, "9090"
invoke WriteMemHexes, 0x711E5CBD, "9090"
invoke WriteMemHexes, 0x711DB93D, "E9FC9E0200"
invoke WriteMemHexes, 0x7120583E,

"895C82FC8BC35B66813B90E8750D66C703FF158B55FC895302EB15803B897410803B8B740B66C703FF258B55FC895302C3"
invoke BPHWS, 0x711E5CC9, 1
invoke ESTO
invoke BPHWC 0x711E5CC9

如果非S使用的时候,先结束explorer.exe进程
使用可能让程序没有焦点,从新启动从新运行就可以了...好象有点点Bug,我用这种方法已经成功脱了主程序,如果有sdk,手工在程序导入表加如v20050910.epe这个dll,SDK就和没有一样了...

这种类型的壳写脚本是巨爽的事情,直接用绝对地址...
BTW:老王的壳好象越来越往后了,0910加密强度还没有3.14好,稳定性也不怎样比3.14好...不过似乎这个版本在兼容性上有些处理,可能以后也要向非注入发展,没办法,杀毒软件的误抱用户往往也会相信的...

查点忘了...OEP这个东西,如果是S,直接用PEID插件搞定,不是,关闭Explorer.exe进程,再用这个插件,搞定收工...
各位,中秋快乐...电影去了...

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・7

支持

最新回复 (52) 1 2 3 ▶
lhglhg 雪币： 221 活跃值： (2256) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 432 粉丝 3 关注私信	lhglhg 1 2 楼厉害！下载试试！！！！ 2005-9-19 18:36 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 3 楼老王老了 2005-9-19 18:41 0
k99992002 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 164 粉丝 0 关注私信	k99992002 4 楼厉害，支持~~~学习下！~~~ 2005-9-19 19:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 WinXP SP2+OllyDBG原版+OllyMachine V2.0 没有测试成功哪位兄弟也测试看看 2005-9-19 22:18 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 6 楼先观摩观摩！！ 2005-9-19 22:31 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 7 楼煽风点火，唯恐天下不乱，大有炸平泰山，停止地球转动之势 2005-9-19 23:26 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 8 楼最初由 Themida 发布煽风点火，唯恐天下不乱，大有炸平泰山，停止地球转动之势不明白... 2005-9-20 00:28 0
骨灰C 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 121 粉丝 2 关注私信	骨灰C 9 楼测试不成功 2005-9-20 07:20 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 10 楼 2003下测试也不成功。 2005-9-20 07:32 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼怀疑通用得真实性。其实误报病毒很容易搞定，一直没有人注意看它有个选项，可以对注入文件EPE进行处理。 2005-9-20 09:13 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 12 楼注入发展也不大了，因为以后病毒火墙也可能会开启反进程注入保护。 2005-9-20 09:15 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 13 楼最初由 csjwaman 发布 2003下测试也不成功。不知道你们想要的成功是什么样子?到OEP??? 等停下来，好像是一个xor eax,eax什么的...然后就可以dump指令了,一定要关闭explorer.exe进程.也就是用taskmgr强制结束这个进程... 2005-9-20 09:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼我这边是OllyDBG退出，EPE运行或者是explorer也失去响应 2005-9-20 09:44 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 15 楼用这个方法倒是可以把主程序DUMP出来，但IAT好象修复不好。还有SDK不知如何处理。 2005-9-20 10:42 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 16 楼主程序DUMP并修复了IAT，但不能正常运行，请楼主看看问题在哪儿？附件:dumped_.part1.rar 附件:dumped_.part2.rar 附件:dumped_.part3.rar 2005-9-20 13:02 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 17 楼最初由 fly 发布我这边是OllyDBG退出，EPE运行或者是explorer也失去响应要把explorer进程结束了... 忘了说要用flyodbg... 2005-9-20 13:06 0
whyIII 雪币： 204 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 113 粉丝 0 关注私信	whyIII 18 楼 [QUOTE]最初由 csjwaman 发布主程序DUMP并修复了IAT，但不能正常运行，请楼主看看问题在哪儿？请问怎么修复iat？ 2005-9-20 17:19 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 19 楼用ImportREC修复，同时要引入v22005910.EPE的函数。 2005-9-20 20:48 0
bokonger 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 134 粉丝 0 关注私信	bokonger 20 楼脚步通用性没有说清楚，我测试还有问题，不过好佩服 2005-9-20 21:30 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 21 楼对 0314有效么 2005-9-21 09:00 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 22 楼脱出来的发布看看能否运行？ 2005-9-21 10:34 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 23 楼最初由鸡蛋壳发布脱出来的发布看看能否运行？能运行的主程序我当然是有了.不过不方便发布... 2005-9-21 12:20 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 24 楼 to cs: 你的输入表没有修复好,所以就会要引入那个dll. 2005-9-21 13:27 0
whyIII 雪币： 204 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 113 粉丝 0 关注私信	whyIII 25 楼偶的oep还没找到！ 2005-9-21 14:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

netsowell

发帖

554

回帖

450

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) 1 2 3 ▶
lhglhg 雪币： 221 活跃值： (2256) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 432 粉丝 3 关注私信	lhglhg 1 2 楼厉害！下载试试！！！！ 2005-9-19 18:36 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 3 楼老王老了 2005-9-19 18:41 0
k99992002 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 164 粉丝 0 关注私信	k99992002 4 楼厉害，支持~~~学习下！~~~ 2005-9-19 19:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 WinXP SP2+OllyDBG原版+OllyMachine V2.0 没有测试成功哪位兄弟也测试看看 2005-9-19 22:18 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 6 楼先观摩观摩！！ 2005-9-19 22:31 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 7 楼煽风点火，唯恐天下不乱，大有炸平泰山，停止地球转动之势 2005-9-19 23:26 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 8 楼最初由 Themida 发布煽风点火，唯恐天下不乱，大有炸平泰山，停止地球转动之势不明白... 2005-9-20 00:28 0
骨灰C 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 121 粉丝 2 关注私信	骨灰C 9 楼测试不成功 2005-9-20 07:20 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 10 楼 2003下测试也不成功。 2005-9-20 07:32 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼怀疑通用得真实性。其实误报病毒很容易搞定，一直没有人注意看它有个选项，可以对注入文件EPE进行处理。 2005-9-20 09:13 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 12 楼注入发展也不大了，因为以后病毒火墙也可能会开启反进程注入保护。 2005-9-20 09:15 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 13 楼最初由 csjwaman 发布 2003下测试也不成功。不知道你们想要的成功是什么样子?到OEP??? 等停下来，好像是一个xor eax,eax什么的...然后就可以dump指令了,一定要关闭explorer.exe进程.也就是用taskmgr强制结束这个进程... 2005-9-20 09:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼我这边是OllyDBG退出，EPE运行或者是explorer也失去响应 2005-9-20 09:44 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 15 楼用这个方法倒是可以把主程序DUMP出来，但IAT好象修复不好。还有SDK不知如何处理。 2005-9-20 10:42 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 16 楼主程序DUMP并修复了IAT，但不能正常运行，请楼主看看问题在哪儿？附件:dumped_.part1.rar 附件:dumped_.part2.rar 附件:dumped_.part3.rar 2005-9-20 13:02 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 17 楼最初由 fly 发布我这边是OllyDBG退出，EPE运行或者是explorer也失去响应要把explorer进程结束了... 忘了说要用flyodbg... 2005-9-20 13:06 0
whyIII 雪币： 204 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 113 粉丝 0 关注私信	whyIII 18 楼 [QUOTE]最初由 csjwaman 发布主程序DUMP并修复了IAT，但不能正常运行，请楼主看看问题在哪儿？请问怎么修复iat？ 2005-9-20 17:19 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 19 楼用ImportREC修复，同时要引入v22005910.EPE的函数。 2005-9-20 20:48 0
bokonger 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 134 粉丝 0 关注私信	bokonger 20 楼脚步通用性没有说清楚，我测试还有问题，不过好佩服 2005-9-20 21:30 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 21 楼对 0314有效么 2005-9-21 09:00 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 22 楼脱出来的发布看看能否运行？ 2005-9-21 10:34 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 23 楼最初由鸡蛋壳发布脱出来的发布看看能否运行？能运行的主程序我当然是有了.不过不方便发布... 2005-9-21 12:20 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 24 楼 to cs: 你的输入表没有修复好,所以就会要引入那个dll. 2005-9-21 13:27 0
whyIII 雪币： 204 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 113 粉丝 0 关注私信	whyIII 25 楼偶的oep还没找到！ 2005-9-21 14:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复