首页
社区
课程
招聘
yoda's Protector V1.03.1/V1.03.2 UnPacK Script
发表于: 2005-10-8 21:25 17936

yoda's Protector V1.03.1/V1.03.2 UnPacK Script

fly 活跃值
85
2005-10-8 21:25
17936

///////////////////////////////////////////////////////////
//  FileName    :  yoda's Protector V1.03.X.osc
//  Comment     :  yoda's Protector V1.03.1/V1.03.2/V1.03.3 UnPacK
//  Environment :  WinXP SP2,OllyDbg V1.10,OllyScript V0.92
//  Author      :  fly
//  WebSite     :  http://www.unpack.cn
//  Date        :  2005-10-05 23:00
///////////////////////////////////////////////////////////
#log
dbh

var T0
var T1
var T2
var T3
var T4

MSGYN "Plz Clear All BreakPoints  And  Set Debugging Option Ignore All Excepions Options.  "
cmp $RESULT, 0
je TryAgain

//GetVersion――――――――――――――――――――――――――――――――

/*
00461EBE    FF541D 00       call dword ptr ss:[ebp+ebx]; kernel32.GetVersion
00461EC2    A9 00000080     test eax,80000000
00461EC7    74 20           je short 00461EE9
00461EC9    3C 04           cmp al,4
00461ECB    75 0C           jnz short 00461ED9
00461ECD    C785 48A04200 0>mov dword ptr ss:[ebp+42A048],2
00461ED7    EB 40           jmp short 00461F19
00461ED9    3C 03           cmp al,3
00461EDB    75 3C           jnz short 00461F19
00461EDD    C785 48A04200 0>mov dword ptr ss:[ebp+42A048],1
00461EE7    EB 30           jmp short 00461F19
00461EE9    3C 03           cmp al,3
//Windows3.X ?
00461EEB    75 0C           jnz short 00461EF9
00461EED    C785 48A04200 0>mov dword ptr ss:[ebp+42A048],4
00461EF7    EB 20           jmp short 00461F19
00461EF9    3C 04           cmp al,4
//Windows9X、NT4.0 ?
00461EFB    75 0C           jnz short 00461F09
00461EFD    C785 48A04200 0>mov dword ptr ss:[ebp+42A048],8
*/

gpa "GetVersion", "KERNEL32.dll"
eob GetVersion
bp $RESULT
esto
GoOn0:
esto

GetVersion:
cmp eip,$RESULT
jne GoOn0
bc $RESULT
rtu
mov eax,4
mov [$RESULT], #B804000000C3#

//SetWindowLongA――――――――――――――――――――――――――――――――

gpa "GetWindowLongA", "User32.dll"
eob GetWindowLongA
bp $RESULT
esto
GoOn1:
esto

GetWindowLongA:
cmp eip,$RESULT
jne GoOn1
bc $RESULT
rtu
mov T0,eax

//Lock Shell_TrayWnd
gpa "SetWindowLongA", "User32.dll"
eob SetWindowLongA
bp $RESULT
esto
GoOn2:
esto

SetWindowLongA:
cmp eip,$RESULT
jne GoOn2
bc $RESULT
mov T1,esp
add T1,C
mov [T1],T0
rtu

//IsDebuggerPresent――――――――――――――――――――――――――――――――

gpa "IsDebuggerPresent", "KERNEL32.dll"
eob IsDebuggerPresent
bp $RESULT
esto
GoOn3:
esto

IsDebuggerPresent:
cmp eip,$RESULT
jne GoOn3
bc $RESULT
rtu

find eip, #C1CB07#
cmp $RESULT, 0
je NoFind
mov T2,$RESULT
eob Ror7
bp T2
log T2
esto
GoOn4:
esto

Ror7:
cmp eip,T2
jne GoOn4
bc T2
mov T3,ebx
log ebx

//Fixed Importing Function――――――――――――――――――――――――――――――――

find eip, #89322BC683E805#
cmp $RESULT, 0
log $RESULT
je NoFind

mov T4,$RESULT
mov [T4],C62B9090
//Fixed Importing Function

find eip, #740261C3#
cmp $RESULT, 0
je NoFind

eob Popad
bp $RESULT

esto
GoOn5:
esto

Popad:
cmp eip,$RESULT
jne GoOn5
bc $RESULT
mov [T4],C62B3289
//Revert Code

//MyOEP――――――――――――――――――――――――――――――――

eob MyOEP
bp T3

esto
GoOn6:
esto

MyOEP:
cmp eip,T3
jne GoOn6
bc T3

//GameOver――――――――――――――――――――――――――――――――

log eip
cmt eip, "This is the OEP! Found By: fly"
MSG "Just : OEP !  Dump and Fix IAT.  Good Luck   "
ret

NoFind:
MSG "Error! Maybe It's not yoda's Protector V1.03.1/V1.03.2/V1.03.3 !  "
ret

TryAgain:
MSG " Plz  Try  Again   !   "
ret


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (29)
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
sofa!HahA
2005-10-8 21:47
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
强贴必留名。FLY的第一个脚本吧
2005-10-8 21:58
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
很少玩脚本,以前用老罗的OllyMachine写过几个
最近无聊,看OllyScript帮助文件学着写了几十个压缩壳的脱壳脚本,没啥价值,就不公开了
2005-10-8 22:03
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
OLLYDBG的脚本我是一点都不会用。
2005-10-8 22:09
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
6
最初由 fly 发布
很少玩脚本,以前用老罗的OllyMachine写过几个
最近无聊,看OllyScript帮助文件学着写了几十个压缩壳的脱壳脚本,没啥价值,就不公开了


公开吧,也学习学习。
比较了下别人的yada脚本和fly的是有不同,看来找OEP方法真是很多
2005-10-8 22:56
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
7
支持!!哦
2005-10-9 09:31
0
雪    币: 233
活跃值: (130)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
8
强贴必留名, 我顶
2005-10-9 09:33
0
雪    币: 236
活跃值: (100)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
9
这个很好用---支持
2005-10-9 10:27
0
雪    币: 204
活跃值: (39)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
谢谢,复制下来好好看一看.
2005-10-9 16:53
0
雪    币: 234
活跃值: (370)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
11
OLLYDBG帮助里面有脚本语法?
2005-10-9 17:22
0
雪    币: 255
活跃值: (266)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
12
最初由 lnn1123 发布
OLLYDBG帮助里面有脚本语法?

OllyScript不是官方推出的。他是一个插件
2005-10-9 18:17
0
雪    币: 234
活跃值: (370)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
13
知道了.....
2005-10-9 18:24
0
雪    币: 186
活跃值: (69)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
最初由 fly 发布
很少玩脚本,以前用老罗的OllyMachine写过几个
最近无聊,看OllyScript帮助文件学着写了几十个压缩壳的脱壳脚本,没啥价值,就不公开了


公开吧,不公开就埋没了好东西了!

如果不方便,就发到Zeror@163.com
2005-10-9 19:31
0
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
15
很好的OSC实例教程
2005-10-9 22:14
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
16
最初由 zeror 发布
公开吧,不公开就埋没了好东西了!
如果不方便,就发到Zeror@163.com


刚开始玩脚本
很多不会,努力学习中  
我会修改一些发布出来
2005-10-9 23:31
0
雪    币: 152
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
我下载来,学习了一下。
也找了个软件试了一下,可是好象不能成功,不知道怎么回事
也看过大侠的手脱的文章,可模仿了一下脱壳,好象不行。
Why??
2006-5-5 14:18
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
18
确定是此壳?
链接我看看
2006-5-7 00:28
0
雪    币: 152
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
我用PEiD查了一下,是yoda's Protector V1.0X -> Ashkbiz Danehkar *
用你的脚本好象不行,我很菜,学习中一些技术!
http://free.ys168.com/?wwcgodsoft 临时文件夹有这个工具,kystar.rar这个文件
谢谢!
2006-5-24 16:40
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
20
加了条语句
下载附件中的脚本看看
2006-5-24 17:08
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
我前几天在OD官方网站看了一下关于脚本的概念,与Fly交流交流啊
2006-5-25 02:16
0
雪    币: 152
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
好的,谢谢!机房里太卡了,下载过来到寝室里弄一下!
谢谢Fly 大侠!
2006-5-27 11:36
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
PEiD查了下是yoda's cryptor 1.2

用2次内存断点的方法断在这里
但是dump出来,修复也无法执行.....望各位指导下
怎么判断是不是正确的OEP呢

004E4940    6A 60           PUSH 60
004E4942    68 904B5200     PUSH L2Walker.00524B90
004E4947    E8 BC3E0000     CALL L2Walker.004E8808
004E494C    BF 94000000     MOV EDI,94
004E4951    8BC7            MOV EAX,EDI
004E4953    E8 C83C0000     CALL L2Walker.004E8620
004E4958    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
004E495B    8BF4            MOV ESI,ESP
004E495D    893E            MOV DWORD PTR DS:[ESI],EDI
004E495F    56              PUSH ESI
004E4960    FF15 7CE25100   CALL DWORD PTR DS:[51E27C]
004E4966    8B4E 10         MOV ECX,DWORD PTR DS:[ESI+10]
004E4969    890D 549B6700   MOV DWORD PTR DS:[679B54],ECX
004E496F    8B46 04         MOV EAX,DWORD PTR DS:[ESI+4]
004E4972    A3 609B6700     MOV DWORD PTR DS:[679B60],EAX
004E4977    8B56 08         MOV EDX,DWORD PTR DS:[ESI+8]
004E497A    8915 649B6700   MOV DWORD PTR DS:[679B64],EDX
004E4980    8B76 0C         MOV ESI,DWORD PTR DS:[ESI+C]
004E4983    81E6 FF7F0000   AND ESI,7FFF
004E4989    8935 589B6700   MOV DWORD PTR DS:[679B58],ESI
004E498F    83F9 02         CMP ECX,2
004E4992    74 0C           JE SHORT L2Walker.004E49A0
004E4994    81CE 00800000   OR ESI,8000
2006-5-29 23:02
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
24
yoda's cryptor有yoda's cryptor V1.2-V1.3.osc脚本

不过看你脱的程序像是某外挂吧,伪装yoda's cryptor而已
hying的壳
2006-5-29 23:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
确实是一个外挂,不过已经是去年的free版本了,最新的都用
ASProtect 2.1x SKE -> Alexey Solodovnikov

只是想学习下,刚开始学习脱壳,请教下fly是怎么看具体用的是
哪个壳.菜鸟问题,不好意思

还有怎么才能显示出这个壳的原形呢?
用PDiE深度扫描也是一样的结果
2006-5-29 23:32
0
游客
登录 | 注册 方可回帖
返回
//