首页
社区
课程
招聘
[原创]EXECryptor2251 ?? + 跨平台 OK
发表于: 2005-10-7 02:58 9845

[原创]EXECryptor2251 ?? + 跨平台 OK

2005-10-7 02:58
9845

【破解作者】 SYSCOM
【使用工具】 DS 2.7 ,IceExt ,IceDump ,LordPE ,ImportREC1.6 ,WinHex
【破解平台】 Windows XP SP1
【软件名称】 EXECryptor 2,2,5,1
【下载地址】 http://www.pediy.com/tools.htm (看雪工具?)
【软件简介】 加密 .EXE-工具
【加壳方式】  EXECryptor
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
----------------------------------------------------------------------

(1) 找? OEP:

     使用 ESP 定律,再配合 EXECryptor 2,2,5,1 ,加密入口特徵瘁
      可以找出 OEP=5A3875

(2)Dump Memory

     先韵??在, BPM 6DEE76 X  (TLS 咄入?),後滕檫程序
     再?行後,中?再 6DEE76 ,後韵?? BPX GetProcAddress
      中?後,返回主程序,6DEC97,令 A, 6DEC97-JMP 6DEC97
     清除所有??後,檫始 Dump Memory ,
     令  Pagein D 400000 2DF000 \??\C:\DUMP.BIN
     按 F5 後,修正 PE ,令 RA=VA,RS=VS,成?有效 PE ?
     ?成 DUMP.EXE (小?示?出?)

(3) 重建 New IAT

     ?一 Patch ,?原 Import Table,先令 588162-JMP Patch+Offset 0X29

+++++++++++++++++++ ASSEMBLY CODE START ++++++++++++++++++

:00000000     mov edx, 004ED168
:00000005     cmp word ptr [edx+02], 0040
:0000000A     jb 0000001C
:0000000C     cmp word ptr [edx+02], 005F
:00000011     ja 0000001C
:00000013     pushad
:00000014     mov dword ptr [004ED104], esp
:0000001A     jmp dword ptr [edx]
:0000001C     add edx, 00000004
:0000001F     cmp edx, 004ED908
:00000025     jbe 00000005
:00000027     jmp 00000027
:00000029     mov dword ptr [ebp-0C], eax
:0000002C     cmp ebp, 00130000
:00000032     jb 00000038
:00000034      mov esp, ebp
:00000036      pop ebp
:00000037      ret
:00000038      mov dword ptr [004ED100], eax
:0000003D      mov esp, dword ptr [004ED104]
:00000043      popad
:00000044      mov ebx, dword ptr [004ED100]
:0000004A      mov dword ptr [edx], ebx
:0000004C      jmp 0000001C

+++++++++++++++++++ ASSEMBLY CODE END ++++++++++++++++++

Patch 完後,?要再增加,??函? Kernel32.dll and User32.dll

Kernel32.dll                   User32.dll
---------------------------------------------------------
GetModuleHandleA                MessageBoxA
LoadLibraryA
GetProcAddress
ExitProcess
VirtualAlloc
VirtualFree
---------------------------------------------------------
增加完後,用 ImportREC1.6 ,令 RAV = ED144 , Size= 7C4
  重建 New IAT,得到 DUMP_.EXE

(4)用 LordPE,修正 OEP=1A3875 ,TLS=F2000 及 重新定位
    新增加的,??函? Kernel32.dll and User32.dll

DllName          OFT        TDS         FC       Name        FT
--------------------------------------------------------------------
Kernel32.dll   000AB18B   00000000   00000000   000AB0FB   000AB173
User32.dll     000AB1C7   00000000   00000000   000AB1A7   000AB1C3
--------------------------------------------------------------------

(5)去除自我校?

58309F-改-> C3
533D30-改-> C3

(6)TEST RUN OK~!!!

附件下蒌:共 4 ?
附件:execryptor2251.part1.rar

附件:execryptor2251.part2.rar


附件:execryptor2251.part3.rar

附件:execryptor2251.part4.rar


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (17)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
辛苦
附件还缺少
2005-10-7 03:10
0
雪    币: 557
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
3
GOOD,我的系统没法装sice和 trw:-(,
to fly:
  放假了,做野猫了!
2005-10-7 03:54
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
呵呵,我一向喜欢白天睡觉

BTW:EXECryptor检测不出SoftICE+IceExt ?
2005-10-7 04:06
0
雪    币: 2003
活跃值: (61)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
同爱爆mm一样我的机器运行不了那两个玩意
2005-10-7 04:12
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
6
最初由 fly 发布
呵呵,我一向喜欢白天睡觉

BTW:EXECryptor检测不出SoftICE+IceExt ?


使用 IceExt 命令,!Protect ON ,就可以避檫??~
2005-10-7 04:34
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
7
good
2005-10-7 07:29
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
8
强贴必留名, 我顶!

另外请问syscom兄的IceExt是什么版本?

这一段非常怪异, 我要找一台xp sp1试试,如果这个是最佳dump点,就严重学习了

"
後韵?? BPX GetProcAddress
中?後,返回主程序,6DEC97,令 A, 6DEC97-JMP 6DEC97
清除所有??後,檫始 Dump Memory ,
令  Pagein D 400000 2DF000 \??\C:\DUMP.BIN
"
2005-10-7 09:07
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
都是通宵的啊,强啊
2005-10-7 13:23
0
雪    币: 210
活跃值: (146)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
使用 winhex 查找 ASCII 和 Unicode 内容:

Feature 1

都没有在 EXE 文件中找到。。

但程序运行后,在内存中找到 Unicode 资源了。

我想可能是解码到内存所致。。。
2005-10-7 14:29
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
11
最初由 shoooo 发布
强贴必留名, 我顶!

另外请问syscom兄的IceExt是什么版本?

这一段非常怪异, 我要找一台xp sp1试试,如果这个是最佳dump点,就严重学习了
........


我唔用 IceExt 0.67 ,呃??有影?,只是用?避檫 Debug ??而已....

呃是不邋的 Dump ?,用 SP2 ,也同?唔用的,和 OS ?晷....
2005-10-7 14:32
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
12
看看
http://bbs.hanzify.org/index.php?showtopic=39384
2005-10-7 14:34
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
13
最初由 五哥 发布
使用 winhex 查找 ASCII 和 Unicode 内容:

Feature 1

都没有在 EXE 文件中找到。。
........


?先中文化-->  FeatureList
再中文化--->   Feature 1
就可以了

都可以在 FILE 找到....

中文化,我不太懂,你可能?要?教高手...
2005-10-7 15:30
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
14
看雪主页上只有IceExt 0.66
楼主可否提供一下IceExt 0.67

谢谢!~~
2005-10-7 15:56
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
15
最初由 syscom 发布


我唔用 IceExt 0.67 ,呃??有影?,只是用?避檫 Debug ??而已....

呃是不邋的 Dump ?,用 SP2 ,也同?唔用的,和 OS ?晷....


早上试了一下果真如此, 这个点好找而且干净, 严重学习了
只是pagein我没法试, 能一次性dump 2df000这么大?
2005-10-8 09:19
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
16
最初由 shoooo 发布



早上试了一下果真如此, 这个点好找而且干净, 严重学习了
只是pagein我没法试, 能一次性dump 2df000这么大?


!Dump  命令,必?是呗理??的  VM

Pagein 命令,可以不是呗理?? VM,未使用 VM ,自?厌 00

可以  SIZE 2DF000 ,?可以更大...........
2005-10-8 10:53
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
17
最初由 syscom 发布


!Dump 命令,必?是呗理??的 VM

Pagein 命令,可以不是呗理?? VM,未使用 VM ,自?厌 00
........


又学习了,感谢
2005-10-8 10:54
0
雪    币: 136
活跃值: (135)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
18
hoho 了 多对这样子的主题讲讲受益匪浅!!!
2005-10-13 18:08
0
游客
登录 | 注册 方可回帖
返回
//