首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
OD脚本脱壳使用问题
发表于: 2005-10-21 08:43 8864

OD脚本脱壳使用问题

skyXnet 活跃值
3
2005-10-21 08:43
8864
// Script for OllyScript plugin by SHaG - http://ollyscript.apsvans.com
/*
//////////////////////////////////////////////////
PELock 1.0x -> Bartosz Wojcik Unpack script v0.1
Author: loveboom
Email : bmd2chen@tom.com
OS : WinXP sp1,Ollydbg 1.1,OllyScript v0.85
Date : 2004-7-19
Action: Auto fix IAT,Remove Junk code,Found stolen code
Config: Ignore other exceptions except 'Memory access violation'
Note : If you have one or more question, email me please,thank you!
//////////////////////////////////////////////////
*/

start:
msgyn "Setting:Ignore other exceptions except 'Memory access violation',Continue?"
cmp $RESULT,0
jne lbl1
ret

lbl1:
//Declare
var count
var espval //Esp value
var addr //address
var addr1

mov count,9
dbh //Hide debugger
run

lblloop:
cmp count,0
je lbl2
dec count
esto
jmp lblloop

lbl2:
find eip,#EB02#
bp $RESULT
esto

lbl3:
bc $RESULT
find eip,#F6C180# //Found 'Test cl,80'
cmp $RESULT,0
je lblabort
mov addr,$RESULT
cmt addr,"Running!please wait......!"
bphws addr,"x"

lbl4:
eoe lbl5
run
mov ecx,80
jmp lbl4

lbl5:
bphwc addr
find eip,#EB01??EB02#
mov addr,$RESULT
bp addr
esto

lbl6:
bc addr
mov addr,esp
bphws addr,"r"
run
bphwc addr

lblClearJunkCode:
repl eip,#E801000000??#,#E80100000090#,1000
repl eip,#EB01??#,#909090#,1000
repl eip,#EB02????#,#90909090#,1000
repl eip,#EB03??????#,#9090909090#,1000
repl eip,#EB04????????#,#909090909090#,1000
repl eip,#C1??00#,#909090#,1000
repl eip,#72037301??#,#9090909090#,1000
repl eip,#7C037D01??#,#9090909090#,1000
msg "Junkcode has been removed!"

lbl7:
find eip,#5D#
go $RESULT
sto

lbllogcode:
find eip,#C3#
bp $RESULT
eob lblgoOEP
ti

lblgoOEP:
bc $RESULT
sto
an eip
dbs
cmt eip,"Now,press ALT+V+N open trace window,you will find stolen code!"

lblend:
msg "Script by loveboom[DFCG[FCG],Thank you for using my script!"
ret

lblabort:
msg "Error,Script aborted!,Meybe target is not protect by PELock 1.0x -> Bartosz."
ret

// [BACK]

关于某程序采用PELock 1.0x -> Bartosz Wojcik加壳处理后.
在网上找到该脱壳脚本...

执行到 
cmt eip,"Now,press ALT+V+N open trace window,you will find stolen code!"

当提示 Now,press ALT+V+N open trace window,you will find stolen code! 
却不知道如何 处理 stolen code ?

请作者或其他了解的告知一二... 谢谢!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
用眼看
2005-10-21 08:52
0
skyXnet
雪    币: 226
活跃值: (115)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
3
用眼看到了. 只是不知怎么处理!
你觉得问题简单可以不回答.

看到问题与如何解决问题有其不同之处.

我想要了解的是就此问题, 我下一步该怎么做?

打扰了你的时间,不好意思.
2005-10-21 10:33
0
laomms
雪    币: 560
活跃值: (359)
能力值: ( LV13,RANK:1370 )
在线值:
发帖
回帖
粉丝
私信
4
Now,press ALT+V+N open trace window,you will find stolen code已经告诉你了
2005-10-21 11:22
0
CNBlastMAN
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
对于新手来说,我找到了Stolen Code又该做什么这样的问题是很有必须了解的.

比方说,我问高手,有了电脑该干什么?

甲高手说,用眼看.
乙高手说,已经告诉你现在你有电脑了.
2007-1-24 17:33
0
skylly
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
6
丙菜鸟告诉你,把除nop以及最后一条push 命令以外的命令复制到fake ep以前的代码,(call命令要相机处置)
更难看懂吧,
2007-1-24 17:46
0
CNBlastMAN
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
呵呵,这样就好很多啊.至少有个办法是不是.
不过还是不有懂的地方,希望赐教,
伪装OEP之前的代码,指的是什么呢?
2007-1-24 18:04
0
xinix
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
这个问题刚好 想问下

如果有知道的大使方便告之一下
2007-3-2 22:01
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//