[原创]EXECryptor2251 ?? + 跨平台 OK-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]EXECryptor2251 ?? + 跨平台 OK

发表于: 2005-10-7 02:58 9829

[原创]EXECryptor2251 ?? + 跨平台 OK

syscom

2005-10-7 02:58

9829

【破解作者】 SYSCOM
【使用工具】 DS 2.7 ,IceExt ,IceDump ,LordPE ,ImportREC1.6 ,WinHex
【破解平台】 Windows XP SP1
【软件名称】 EXECryptor 2,2,5,1
【下载地址】 http://www.pediy.com/tools.htm (看雪工具?)
【软件简介】加密 .EXE-工具
【加壳方式】  EXECryptor
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）
----------------------------------------------------------------------

(1) 找? OEP:

   使用 ESP 定律,再配合 EXECryptor 2,2,5,1 ,加密入口特徵瘁
   可以找出 OEP=5A3875

(2)Dump Memory

   先韵??在, BPM 6DEE76 X  (TLS 咄入?),後滕檫程序
   再?行後,中?再 6DEE76 ,後韵?? BPX GetProcAddress
   中?後,返回主程序,6DEC97,令 A, 6DEC97-JMP 6DEC97
   清除所有??後,檫始 Dump Memory ,
   令  Pagein D 400000 2DF000 \??\C:\DUMP.BIN
   按 F5 後,修正 PE ,令 RA=VA,RS=VS,成?有效 PE ?
   ?成 DUMP.EXE (小?示?出?)

(3) 重建 New IAT

   ?一 Patch ,?原 Import Table,先令 588162-JMP Patch+Offset 0X29

+++++++++++++++++++ ASSEMBLY CODE START ++++++++++++++++++

:00000000    mov edx, 004ED168
:00000005    cmp word ptr [edx+02], 0040
:0000000A    jb 0000001C
:0000000C    cmp word ptr [edx+02], 005F
:00000011    ja 0000001C
:00000013    pushad
:00000014    mov dword ptr [004ED104], esp
:0000001A    jmp dword ptr [edx]
:0000001C    add edx, 00000004
:0000001F    cmp edx, 004ED908
:00000025    jbe 00000005
:00000027    jmp 00000027
:00000029    mov dword ptr [ebp-0C], eax
:0000002C    cmp ebp, 00130000
:00000032    jb 00000038
:00000034    mov esp, ebp
:00000036    pop ebp
:00000037    ret
:00000038    mov dword ptr [004ED100], eax
:0000003D    mov esp, dword ptr [004ED104]
:00000043    popad
:00000044    mov ebx, dword ptr [004ED100]
:0000004A    mov dword ptr [edx], ebx
:0000004C    jmp 0000001C

+++++++++++++++++++ ASSEMBLY CODE END ++++++++++++++++++

Patch 完後,?要再增加,??函? Kernel32.dll and User32.dll

Kernel32.dll                User32.dll
---------------------------------------------------------
GetModuleHandleA             MessageBoxA
LoadLibraryA
GetProcAddress
ExitProcess
VirtualAlloc
VirtualFree
---------------------------------------------------------
增加完後,用 ImportREC1.6 ,令 RAV = ED144 , Size= 7C4
  重建 New IAT,得到 DUMP_.EXE

(4)用 LordPE,修正 OEP=1A3875 ,TLS=F2000 及重新定位
新增加的,??函? Kernel32.dll and User32.dll

DllName       OFT       TDS       FC    Name       FT
--------------------------------------------------------------------
Kernel32.dll 000AB18B 00000000 00000000 000AB0FB 000AB173
User32.dll    000AB1C7 00000000 00000000 000AB1A7 000AB1C3
--------------------------------------------------------------------

(5)去除自我校?

58309F-改-> C3
533D30-改-> C3

(6)TEST RUN OK~!!!

附件下蒌:共 4 ?
附件:execryptor2251.part1.rar

附件:execryptor2251.part2.rar

附件:execryptor2251.part3.rar

附件:execryptor2251.part4.rar

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・7

支持

最新回复 (17)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼辛苦附件还缺少 2005-10-7 03:10 0
loveboom 雪币： 556 活跃值： (2303) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 3 楼 GOOD,我的系统没法装sice和 trw：-(， to fly: 放假了，做野猫了! 2005-10-7 03:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼呵呵，我一向喜欢白天睡觉 BTW:EXECryptor检测不出SoftICE+IceExt ? 2005-10-7 04:06 0
LOVE 雪币： 2003 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 246 粉丝 1 关注私信	LOVE 5 楼同爱爆mm一样我的机器运行不了那两个玩意 2005-10-7 04:12 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 6 楼最初由 fly 发布呵呵，我一向喜欢白天睡觉 BTW:EXECryptor检测不出SoftICE+IceExt ? 使用 IceExt 命令,!Protect ON ,就可以避檫??~ 2005-10-7 04:34 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 7 楼 good 2005-10-7 07:29 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 8 楼强贴必留名，我顶! 另外请问syscom兄的IceExt是什么版本？这一段非常怪异，我要找一台xp sp1试试，如果这个是最佳dump点，就严重学习了 " 後韵?? BPX GetProcAddress 中?後,返回主程序,6DEC97,令 A, 6DEC97-JMP 6DEC97 清除所有??後,檫始 Dump Memory , 令 Pagein D 400000 2DF000 \??\C:\DUMP.BIN " 2005-10-7 09:07 0
k99992002 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 164 粉丝 0 关注私信	k99992002 9 楼都是通宵的啊，强啊 2005-10-7 13:23 0
五哥雪币： 210 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 1 关注私信	五哥 10 楼使用 winhex 查找 ASCII 和 Unicode 内容： Feature 1 都没有在 EXE 文件中找到。。但程序运行后，在内存中找到 Unicode 资源了。我想可能是解码到内存所致。。。 2005-10-7 14:29 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 11 楼最初由 shoooo 发布强贴必留名，我顶! 另外请问syscom兄的IceExt是什么版本？这一段非常怪异，我要找一台xp sp1试试，如果这个是最佳dump点，就严重学习了 ........ 我唔用 IceExt 0.67 ,呃??有影?,只是用?避檫 Debug ??而已.... 呃是不邋的 Dump ?,用 SP2 ,也同?唔用的,和 OS ?晷.... 2005-10-7 14:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼看看 http://bbs.hanzify.org/index.php?showtopic=39384 2005-10-7 14:34 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 13 楼最初由五哥发布使用 winhex 查找 ASCII 和 Unicode 内容： Feature 1 都没有在 EXE 文件中找到。。 ........ ?先中文化--> FeatureList 再中文化---> Feature 1 就可以了都可以在 FILE 找到.... 中文化,我不太懂,你可能?要?教高手... 2005-10-7 15:30 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 14 楼看雪主页上只有IceExt 0.66 楼主可否提供一下IceExt 0.67 谢谢！~~ 2005-10-7 15:56 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 15 楼最初由 syscom 发布我唔用 IceExt 0.67 ,呃??有影?,只是用?避檫 Debug ??而已.... 呃是不邋的 Dump ?,用 SP2 ,也同?唔用的,和 OS ?晷.... 早上试了一下果真如此, 这个点好找而且干净, 严重学习了只是pagein我没法试, 能一次性dump 2df000这么大? 2005-10-8 09:19 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 16 楼最初由 shoooo 发布早上试了一下果真如此, 这个点好找而且干净, 严重学习了只是pagein我没法试, 能一次性dump 2df000这么大? !Dump 命令,必?是呗理??的 VM Pagein 命令,可以不是呗理?? VM,未使用 VM ,自?厌 00 可以 SIZE 2DF000 ,?可以更大........... 2005-10-8 10:53 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 17 楼最初由 syscom 发布 !Dump 命令,必?是呗理??的 VM Pagein 命令,可以不是呗理?? VM,未使用 VM ,自?厌 00 ........ 又学习了,感谢 2005-10-8 10:54 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 18 楼 hoho 了多对这样子的主题讲讲受益匪浅！！！ 2005-10-13 18:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

syscom

发帖

156

回帖

250

RANK

关注

私信

他的文章

for S-ICE Symbol file 4025
->南蛮妈妈的 TEST.EXE ~!!! 6001
[原创]ASProtect 2.1x SKE + Delphi + Stolen Code 27035
[求助]? TEST 一下,跨平台 ASProtect 4818
[?考](LoveBoom) ASProtect SKE 2.X +Stolen Code ?? 7766

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼辛苦附件还缺少 2005-10-7 03:10 0
loveboom 雪币： 556 活跃值： (2303) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 3 楼 GOOD,我的系统没法装sice和 trw：-(， to fly: 放假了，做野猫了! 2005-10-7 03:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼呵呵，我一向喜欢白天睡觉 BTW:EXECryptor检测不出SoftICE+IceExt ? 2005-10-7 04:06 0
LOVE 雪币： 2003 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 246 粉丝 1 关注私信	LOVE 5 楼同爱爆mm一样我的机器运行不了那两个玩意 2005-10-7 04:12 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 6 楼最初由 fly 发布呵呵，我一向喜欢白天睡觉 BTW:EXECryptor检测不出SoftICE+IceExt ? 使用 IceExt 命令,!Protect ON ,就可以避檫??~ 2005-10-7 04:34 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 7 楼 good 2005-10-7 07:29 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 8 楼强贴必留名，我顶! 另外请问syscom兄的IceExt是什么版本？这一段非常怪异，我要找一台xp sp1试试，如果这个是最佳dump点，就严重学习了 " 後韵?? BPX GetProcAddress 中?後,返回主程序,6DEC97,令 A, 6DEC97-JMP 6DEC97 清除所有??後,檫始 Dump Memory , 令 Pagein D 400000 2DF000 \??\C:\DUMP.BIN " 2005-10-7 09:07 0
k99992002 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 164 粉丝 0 关注私信	k99992002 9 楼都是通宵的啊，强啊 2005-10-7 13:23 0
五哥雪币： 210 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 1 关注私信	五哥 10 楼使用 winhex 查找 ASCII 和 Unicode 内容： Feature 1 都没有在 EXE 文件中找到。。但程序运行后，在内存中找到 Unicode 资源了。我想可能是解码到内存所致。。。 2005-10-7 14:29 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 11 楼最初由 shoooo 发布强贴必留名，我顶! 另外请问syscom兄的IceExt是什么版本？这一段非常怪异，我要找一台xp sp1试试，如果这个是最佳dump点，就严重学习了 ........ 我唔用 IceExt 0.67 ,呃??有影?,只是用?避檫 Debug ??而已.... 呃是不邋的 Dump ?,用 SP2 ,也同?唔用的,和 OS ?晷.... 2005-10-7 14:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼看看 http://bbs.hanzify.org/index.php?showtopic=39384 2005-10-7 14:34 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 13 楼最初由五哥发布使用 winhex 查找 ASCII 和 Unicode 内容： Feature 1 都没有在 EXE 文件中找到。。 ........ ?先中文化--> FeatureList 再中文化---> Feature 1 就可以了都可以在 FILE 找到.... 中文化,我不太懂,你可能?要?教高手... 2005-10-7 15:30 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 14 楼看雪主页上只有IceExt 0.66 楼主可否提供一下IceExt 0.67 谢谢！~~ 2005-10-7 15:56 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 15 楼最初由 syscom 发布我唔用 IceExt 0.67 ,呃??有影?,只是用?避檫 Debug ??而已.... 呃是不邋的 Dump ?,用 SP2 ,也同?唔用的,和 OS ?晷.... 早上试了一下果真如此, 这个点好找而且干净, 严重学习了只是pagein我没法试, 能一次性dump 2df000这么大? 2005-10-8 09:19 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 16 楼最初由 shoooo 发布早上试了一下果真如此, 这个点好找而且干净, 严重学习了只是pagein我没法试, 能一次性dump 2df000这么大? !Dump 命令,必?是呗理??的 VM Pagein 命令,可以不是呗理?? VM,未使用 VM ,自?厌 00 可以 SIZE 2DF000 ,?可以更大........... 2005-10-8 10:53 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 17 楼最初由 syscom 发布 !Dump 命令,必?是呗理??的 VM Pagein 命令,可以不是呗理?? VM,未使用 VM ,自?厌 00 ........ 又学习了,感谢 2005-10-8 10:54 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 18 楼 hoho 了多对这样子的主题讲讲受益匪浅！！！ 2005-10-13 18:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复