首页
社区
课程
招聘
EncryptPE 2005.9.10脱壳脚本,是不是s都可以
发表于: 2005-9-19 18:19 20165

EncryptPE 2005.9.10脱壳脚本,是不是s都可以

2005-9-19 18:19
20165

//用的OllyMachine
invoke msg, "哈哈!现在我要开始运行啦,保存好当前工作,有可能要关闭explorer.exe哦!"
invoke BPHWS, 0x711E3FF6, 1
invoke ESTO
invoke BPHWC 0x711E3FF6
invoke WriteMemHexes, 0x711E3FF6, "EB"
invoke WriteMemHexes, 0x711E5958, "9090"
invoke BPHWS, 0x711E596D, 1
invoke ESTO
invoke BPHWC 0x711E596D
invoke WriteMemHexes, 0x711E3FF6, "74"
invoke WriteMemHexes, 0x711E5958, "7513"
invoke WriteMemHexes, 0x711E5976, "9090"
invoke WriteMemHexes, 0x711E5981, "EB"
invoke BPHWS, 0x711E5AED, 1
invoke ESTO
invoke BPHWC 0x711E5AED
invoke WriteMemHexes, 0x711E5AED, "9090909090909090909090"
invoke WriteMemHexes, 0x711E5B20, "9090"
invoke WriteMemHexes, 0x711E5B2C, "9090909090909090909090"
invoke WriteMemHexes, 0x711E5B5E, "9090"
invoke WriteMemHexes, 0x711E5C38, "13"
invoke WriteMemHexes, 0x711E5C4A, "13"
invoke WriteMemHexes, 0x711E5C51, "909090909090"
invoke WriteMemHexes, 0x711E5C63, "9090909090"
invoke WriteMemHexes, 0x711E5C8D, "9090"
invoke WriteMemHexes, 0x711E5CBD, "9090"
invoke WriteMemHexes, 0x711DB93D, "E9FC9E0200"
invoke WriteMemHexes, 0x7120583E,

"895C82FC8BC35B66813B90E8750D66C703FF158B55FC895302EB15803B897410803B8B740B66C703FF258B55FC895302C3"
invoke BPHWS, 0x711E5CC9, 1
invoke ESTO
invoke BPHWC 0x711E5CC9

如果非S使用的时候,先结束explorer.exe进程
使用可能让程序没有焦点,从新启动从新运行就可以了...好象有点点Bug,我用这种方法已经成功脱了主程序,如果有sdk,手工在程序导入表加如v20050910.epe这个dll,SDK就和没有一样了...
这种类型的壳写脚本是巨爽的事情,直接用绝对地址...
BTW:老王的壳好象越来越往后了,0910加密强度还没有3.14好,稳定性也不怎样比3.14好...不过似乎这个版本在兼容性上有些处理,可能以后也要向非注入发展,没办法,杀毒软件的误抱用户往往也会相信的...

查点忘了...OEP这个东西,如果是S,直接用PEID插件搞定,不是,关闭Explorer.exe进程,再用这个插件,搞定收工...
各位,中秋快乐...电影去了...


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (52)
雪    币: 221
活跃值: (2301)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
厉害!下载试试!!!!
2005-9-19 18:36
0
雪    币: 298
活跃值: (445)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
3
老王老了
2005-9-19 18:41
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
厉害,支持~~~学习下!~~~
2005-9-19 19:32
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
WinXP SP2+OllyDBG原版+OllyMachine V2.0
没有测试成功

哪位兄弟也测试看看
2005-9-19 22:18
0
雪    币: 298
活跃值: (445)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
6
先观摩观摩!!
2005-9-19 22:31
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
7
煽风点火,唯恐天下不乱,大有炸平泰山,停止地球转动之势
2005-9-19 23:26
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
8
最初由 Themida 发布
煽风点火,唯恐天下不乱,大有炸平泰山,停止地球转动之势

不明白...
2005-9-20 00:28
0
雪    币: 217
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
测试不成功
2005-9-20 07:20
0
雪    币: 319
活跃值: (2439)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
10
2003下测试也不成功。
2005-9-20 07:32
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
怀疑通用得真实性。其实误报病毒很容易搞定,一直没有人注意看它有个选项,可以对注入文件EPE进行处理。
2005-9-20 09:13
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
注入发展也不大了,因为以后病毒火墙也可能会开启反进程注入保护。
2005-9-20 09:15
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
13
最初由 csjwaman 发布
2003下测试也不成功。

不知道你们想要的成功是什么样子?到OEP???
等停下来,好像是一个xor eax,eax什么的...然后就可以dump指令了,一定要关闭explorer.exe进程.也就是用taskmgr强制结束这个进程...
2005-9-20 09:35
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
14
我这边是OllyDBG退出,EPE运行
或者是explorer也失去响应
2005-9-20 09:44
0
雪    币: 319
活跃值: (2439)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
15
用这个方法倒是可以把主程序DUMP出来,但IAT好象修复不好。还有SDK不知如何处理。
2005-9-20 10:42
0
雪    币: 319
活跃值: (2439)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
16
主程序DUMP并修复了IAT,但不能正常运行,请楼主看看问题在哪儿?

附件:dumped_.part1.rar 附件:dumped_.part2.rar 附件:dumped_.part3.rar
2005-9-20 13:02
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
17
最初由 fly 发布
我这边是OllyDBG退出,EPE运行
或者是explorer也失去响应

要把explorer进程结束了...
忘了说要用flyodbg...
2005-9-20 13:06
0
雪    币: 204
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
[QUOTE]最初由 csjwaman 发布
主程序DUMP并修复了IAT,但不能正常运行,请楼主看看问题在哪儿?

请问怎么修复iat?
2005-9-20 17:19
0
雪    币: 319
活跃值: (2439)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
19
用ImportREC修复,同时要引入v22005910.EPE的函数。
2005-9-20 20:48
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
脚步通用性没有说清楚,我测试还有问题,不过好佩服
2005-9-20 21:30
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
对 0314有效么
2005-9-21 09:00
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
脱出来的发布看看能否运行?
2005-9-21 10:34
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
23
最初由 鸡蛋壳 发布
脱出来的发布看看能否运行?

能运行的主程序我当然是有了.不过不方便发布...
2005-9-21 12:20
0
雪    币: 556
活跃值: (2298)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
24
to  cs:
你的输入表没有修复好,所以就会要引入那个dll.
2005-9-21 13:27
0
雪    币: 204
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
偶的oep还没找到!
2005-9-21 14:49
0
游客
登录 | 注册 方可回帖
返回
//