首页
社区
课程
招聘
[原创]RORDbg V0.25 (下载本帖附件)
发表于: 2005-11-29 20:30 87182

[原创]RORDbg V0.25 (下载本帖附件)

2005-11-29 20:30
87182
收藏
免费 0
支持
分享
最新回复 (220)
雪    币: 221
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
151
...
...
...
009D7971 ***API: KERNEL32.DLL!GetProcAddress
Param0:01190000
Param1:3258553A
        "@Borlndmm@SysGetMem$qqri"
009D7971 ***API: KERNEL32.DLL!GetProcAddress
Param0:01190000
Param1:32585553
        "@Borlndmm@SysFreeMem$qqrpv"
009D7971 ***API: KERNEL32.DLL!GetProcAddress
Param0:01190000
Param1:3258556E
        "@Borlndmm@SysReallocMem$qqrpvi"
可能到OEP了,如果不完全正确,请再单步走几下!
0040102F E8A46C0500          CALL 00457CD8
Command: MAKEPE 401000
Make PE now
Start:77F80000 End:77FFC000
Start:01190000 End:0119B000
Start:77E60000 End:77F32000
Start:77DF0000 End:77E59000
Start:77F40000 End:77F7F000
Start:796D0000 End:79735000
Start:786F0000 End:78768000
Start:74FD0000 End:74FDA000
Start:74FB0000 End:74FC4000
Start:78000000 End:78045000
Start:74FA0000 End:74FA8000
Start:71710000 End:71794000
Start:78F90000 End:791E6000
Start:70BD0000 End:70C35000
Start:7CF00000 End:7D001000
Start:77990000 End:77A2B000
//这里就没有没有动静了
2005-12-28 20:41
0
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
152
最初由 starx 发布
...
...
...
009D7971 ***API: KERNEL32.DLL!GetProcAddress
Param0:01190000
........


估计是没到真正的OEP,另外,你没有跑到一个API处再makepe.
2005-12-28 20:46
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
153
最初由 Kernel64 发布


是什么东西没脱掉?

实际上,没脱掉是正常的,程序入口代码如果被抽掉,IAT如果被破坏掉,都可能导致脱壳不成功,目前,RORDbg争取的是尽量能够跑更多的壳,跑到OEP就是胜利,接下来会在脱壳方面下工夫.


恩,这个我知道,能做到现在这样已经非常好了,我很贪心,呵呵,希望她更好!
2005-12-28 21:36
0
雪    币: 440
活跃值: (692)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
154
很棒!
希望越做越好。
2005-12-28 22:50
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
155
一日三更
lift
2005-12-29 00:44
0
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
156
最初由 快雪时晴 发布
一日三更
lift


呵呵,估计以后每隔一周至少更新一次。
2005-12-29 10:36
0
雪    币: 303
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
157
最初由 Kernel64 发布


呵呵,估计以后每隔一周至少更新一次。


绝对支持更新!
能否“单步”支持用“F7”键完成
多谢
2005-12-29 10:51
0
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
158
最初由 liuyilin 发布


绝对支持更新!
能否“单步”支持用“F7”键完成
多谢


现在的版本有个F8可以用的
2005-12-29 11:31
0
雪    币: 303
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
159
最初由 Kernel64 发布


现在的版本有个F8可以用的


好!!!没发现,原来功能还真全!
2005-12-29 11:38
0
雪    币: 100
活跃值: (816)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
160
测试多次,总出现GO以后不运行的问题。请问是什么原因?
2005-12-29 18:31
0
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
161
最初由 hy2001 发布
测试多次,总出现GO以后不运行的问题。请问是什么原因?


应该不会,如果你确认有问题,把文件发给我看下.
2005-12-29 21:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
162
我现在有一个程序,用.24版跑了以后,总是看不到api调用,如下:
Eip==0052E984
未知壳
0052E984 68FD62FAC2          PUSH C2FA62FD
0052E989 FF25D8EA5200        JMP DWORD PTR [+052EAD8h]
0058A000 E961000000          JMP 0058A066
0058A066 60                  PUSHAD
0058A067 9C                  PUSHFD
0058A068 FC                  CLD
0058A069 E800000000          CALL 0058A06E
0058A06E 5B                  POP EBX
0058A06F 8D5B92              LEA EBX,DWORD PTR [EBX-06Eh]
0058A072 8B4348              MOV EAX,DWORD PTR [EBX+048h]
0058A075 B900100000          MOV ECX,1000
0058A07A 3BC1                CMP EAX,ECX
0058A07C 760B                JNA 0058A089
0058A07E 2BE1                SUB ESP,ECX
0058A080 2BC1                SUB EAX,ECX
0058A082 850424              TEST DWORD PTR [ESP],EAX
0058A085 3BC1                CMP EAX,ECX
0058A087 77F5                JA 0058A07E
0058A07E 2BE1                SUB ESP,ECX
0058A080 2BC1                SUB EAX,ECX
0058A082 850424              TEST DWORD PTR [ESP],EAX
0058A085 3BC1                CMP EAX,ECX
0058A087 77F5                JA 0058A07E
0058A07E 2BE1                SUB ESP,ECX
0058A080 2BC1                SUB EAX,ECX
0058A082 850424              TEST DWORD PTR [ESP],EAX
0058A085 3BC1                CMP EAX,ECX
0058A087 77F5                JA 0058A07E
0058A07E 2BE1                SUB ESP,ECX
0058A080 2BC1                SUB EAX,ECX
0058A082 850424              TEST DWORD PTR [ESP],EAX
0058A085 3BC1                CMP EAX,ECX
0058A087 77F5                JA 0058A07E
0058A07E 2BE1                SUB ESP,ECX
0058A080 2BC1                SUB EAX,ECX
0058A082 850424              TEST DWORD PTR [ESP],EAX
0058A085 3BC1                CMP EAX,ECX
0058A087 77F5                JA 0058A07E
0058A089 2BE0                SUB ESP,EAX
0058A08B 8B0424              MOV EAX,DWORD PTR [ESP]
0058A08E 8BD4                MOV EDX,ESP
0058A090 8B7318              MOV ESI,DWORD PTR [EBX+018h]
0058A093 8BFA                MOV EDI,EDX
0058A095 33C0                XOR EAX,EAX
0058A097 B900020000          MOV ECX,200
0058A09C F3AB                REPZ:  STOSD DWORD PTR ES:[EDI],EAX
0058A09E 8BFA                MOV EDI,EDX
0058A0A0 893F                MOV DWORD PTR [EDI],EDI
0058A0A2 895F08              MOV DWORD PTR [EDI+08h],EBX
0058A0A5 03F3                ADD ESI,EBX
0058A0A7 FFE6                JMP ESI
00AF9530 B101                MOV CL,1
00AF9532 D24F10              ROR BYTE PTR [EDI+010h],CL
00AF9535 8B4F08              MOV ECX,DWORD PTR [EDI+08h]
00AF9538 8B5F08              MOV EBX,DWORD PTR [EDI+08h]
00AF953B 0BD9                OR EBX,ECX
00AF953D 9C                  PUSHFD
00AF953E 8F4730              POP DWORD PTR [EDI+030h]
00AF9541 895F08              MOV DWORD PTR [EDI+08h],EBX
00AF9544 C6472064            MOV BYTE PTR [EDI+020h],64
00AF9548 8B9F20030000        MOV EBX,DWORD PTR [EDI+0320h]
00AF954E 899F20030000        MOV DWORD PTR [EDI+0320h],EBX
00AF9554 C6472816            MOV BYTE PTR [EDI+028h],16
FilterCC==78007700
异常处理程序地址:81068B08
到这里时如果放开跑,就可以出现程序界面,并且可以正常使用,如果go或者单步就会这样挂掉:

0052E984 68FD62FAC2          PUSH C2FA62FD
..........................................
0067124D 7423                JZ 00671272
00671272 D24710              ROL BYTE PTR [EDI+010h],CL
00671275 EB19                JMP 00671290
00671290 59                  POP ECX
00671291 8BC7                MOV EAX,EDI
00671293 8BD9                MOV EBX,ECX
00671295 C1E310              SHL EBX,10
00671298 C1EB18              SHR EBX,18
0067129B 035F20              ADD EBX,DWORD PTR [EDI+020h]
0067129E 81E3FF000000        AND EBX,FF
006712A4 FF24D8              JMP DWORD PTR [EAX+EBX*8]
0061A998 B106                MOV CL,6
0061A99A D24710              ROL BYTE PTR [EDI+010h],CL
0061A99D CD01                INT 1
FilterCC==78007700
异常处理程序地址:81068B08

这样子的程序怎么来makepe呢?
可以确认第一行代码就是入口点么??

请楼主多指教,多谢。

ps:如果楼主需要整理测试文档或者使用说明之类的文字,我可以效些微劳。
2005-12-30 01:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
163
如果这时强行makepe,会如下:
Eip==0052E984
未知壳
0052E984 68FD62FAC2          PUSH C2FA62FD
Command: MAKEPE 0052E984
Make PE now
Start:77F80000 End:77FFB000
Start:77E60000 End:77F38000
Start:77DF0000 End:77E55000
Start:77F40000 End:77F7C000
Start:796D0000 End:79732000
Start:786F0000 End:78761000
Start:77990000 End:77A2B000
Start:77A30000 End:77B27000
Start:777E0000 End:777E7000
Start:75950000 End:75956000
Start:71710000 End:71794000
Start:76AF0000 End:76B2E000
Start:70BD0000 End:70C35000
Start:78000000 End:78045000
Start:78F90000 End:791D8000
Start:74FD0000 End:74FDA000
Start:74FB0000 End:74FC4000
Start:74FA0000 End:74FA8000
Start:00580000 End:00BA2000
Start:75E00000 End:75E1A000
Start:6DD30000 End:6DD36000
Start:10000000 End:100A3000
Start:6BC40000 End:6BD3B000
Start:6BC20000 End:6BC2D000
Start:6A280000 End:6A3D4000
HODULE=00400100
nSec=9
VirtualSize RVA PhysicalSize PhysicalOffset
p=004001F8
  120710     1000   120710      400
p=00400220
    c000   122000        0        0
p=00400248
    1000   12e000     1000   120c00
p=00400270
      24   12f000       24   121c00
p=00400298
    2000   130000        0        0
p=004002C0
      18   132000       18   121e00
p=004002E8
   15000   133000        0        0
p=00400310
    2cd0   148000     2cd0   122000
p=00400338
   31000   14b000        0        0
就此挂掉。。。。。。。。。。。。。。。。。:(......
2005-12-30 02:00
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
164
不支持深目录?

我把他放在 D:\Program Files\破解合集\调试工具\RORDbg 0.24

不管是用方式1还是方式2都不行

PS:是针对同一个加壳程序而言哦

另外这个0.24加载东西跑起来之后 上面的就变成0.23了
怎么回事?

我的系统是XP SP1的

东西很好用~呵呵~继续努力!!
2005-12-30 02:41
0
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
165
最初由 chinadev 发布
不支持深目录?

我把他放在 D:\Program Files\破解合集\调试工具\RORDbg 0.24

不管是用方式1还是方式2都不行
........


深层目录测试了,没发现你提到的问题.

版本号运行后变了:这是我的疏忽

谢谢提供信息.
2005-12-30 08:01
0
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
166
最初由 TarZan 发布
如果这时强行makepe,会如下:
Eip==0052E984
未知壳
0052E984 68FD62FAC2 PUSH C2FA62FD
Command: MAKEPE 0052E984
........


如果方便的话,把文件发我看一下.
2005-12-30 08:02
0
雪    币: 206
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
167
前几个版本一直没有成功,这个看看。
2005-12-30 11:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
168
最初由 Kernel64 发布


如果方便的话,把文件发我看一下.


怎么发给你呢?
我用站内的email功能给你发了我的email地址
不知是否受到?
如没有,我在跟贴时发/

ps:在线等待中.....

我email:cclassic@126.com
你给我发封信,
我就可以给你回了,
2005-12-30 23:42
0
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
169
最初由 TarZan 发布


怎么发给你呢?
我用站内的email功能给你发了我的email地址
不知是否受到?
........


我的QQ:98XXX
2005-12-31 08:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
170
多谢了。你修改下这个贴子吧。
2005-12-31 11:57
0
雪    币: 224
活跃值: (75)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
171
004CE4BE 正常调用(指令数17913411): USER32.DLL!MessageBoxA
遇到断点暂停了!
004CE4CB 740C                JZ 004CE4D9

到这怎么修改跳转? 不让它跳?
2005-12-31 12:21
0
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
172
最初由 xiaoboy 发布
004CE4BE 正常调用(指令数17913411): USER32.DLL!MessageBoxA
遇到断点暂停了!
004CE4CB 740C JZ 004CE4D9

到这怎么修改跳转? 不让它跳?


r eip 4ce4cd
2005-12-31 16:22
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
173
最初由 Kernel64 发布


r eip 4ce4cd


有些程序一加载就飞,能不能先停在入口处呢,
不要急着跑64字节帮我们找OEP
2006-1-1 22:11
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
174
最初由 Kernel64 发布
新版本 V0.24

RORDbg V0.24

这是一个用虚拟机技术实现的简易Debugger,主要用于外壳分析和脱壳,目前只能跑exe文件的主线程。
........


独特的好软件!支持!顶!
2006-1-2 00:56
0
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
175
最初由 快雪时晴 发布


有些程序一加载就飞,能不能先停在入口处呢,
不要急着跑64字节帮我们找OEP


一般都会停在程序入口处的,除了某些特殊程序外.
2006-1-2 10:15
0
游客
登录 | 注册 方可回帖
返回
//