[原创]冰盾抗DDOS防火墙V6.6主程序UltraProtect脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]冰盾抗DDOS防火墙V6.6主程序UltraProtect脱壳

发表于: 2005-12-5 13:39 8422

[原创]冰盾抗DDOS防火墙V6.6主程序UltraProtect脱壳

KuNgBiM

2005-12-5 13:39

8422

【脱文标题】：冰盾抗DDOS防火墙V6.6主程序UltraProtect脱壳

【破文作者】：KuNgBiM[DFCG][N.C.P.H]

【作者邮箱】：kungbim@163.com

【作者网站】：http://www.ncph.net

【软件名称】：冰盾抗DDOS防火墙V6.6 Build 51111

【软件大小】：1.35MB

【软件语言】：简体中文

【下载地址】：http://www.bingdun.com/bdfwsetup.exe

【软件简介】：全球第一款具备IDS入侵检测功能的专业级抗DDOS防火墙

   冰盾抗DDOS防火墙（Bingdun Anti-DDOS Firewall）来自IT技术世界一流的美国硅谷，由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发，采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为，防火墙采用MicroKernel微内核和ActiveDefense主动防御引擎技术实现，工作在系统的最底层，充分发挥CPU的效能，仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明：在抗DDOS攻击方面，工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击，工作于1000M网卡冰盾约可抵御160万个SYN攻击包；在防黑客入侵方面，冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止，是迄今为止在抗DDOS领域功能最为强大的防火墙产品之一。

【保护方式】：注册码 + 续防护2小时试用限制

【加密保护】：UltraProtect 1.x -> RISCO Software Inc

【编译语言】：Microsoft Visual C++ 7.0

【调试环境】：WinXP-sp2、PEiD、Ollydbg、LordPE、ImportREC

【破解日期】：2005-08-18

【破解目的】：推广使用Ollydbg手动脱壳

【作者声明】：初学Crack，只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！

―――――――――――――――――――――――――――――――――
【脱壳过程】：

侦壳：用PEiD查壳，UltraProtect 1.x -> RISCO Software Inc 加壳（原名：ACProtect）

设置Ollydbg忽略所有其它异常选项。老规矩：用IsDebug 1.4插件去掉Ollydbg的调试器标志。

Ollydbg载入主程序：

004F3000 >  60                pushad                                  ; OD加载主程序后，停在这里
004F3001 7C 03             jl short bdfw.004F3006                   ; F8到这里，查看寄存器ESP值
004F3003 7D 01             jge short bdfw.004F3006
004F3005 E8 81D00873       call 7358008B
004F300A E5 4D             in eax,4D
004F300C F9                stc
004F300D 50                push eax
004F300E E8 01000000       call bdfw.004F3014
004F3013  - 74 83             je short bdfw.004F2F98
004F3015 C40458             les eax,fword ptr ds:[eax+ebx*2]
........

命令行下断：hr esp 回车，F9运行

0050A106 /EB 01             jmp short bdfw.0050A109                ; 第一次中断到这里，F8继续
0050A108 |E8 FF254BA1       call A19BC70C
0050A10D 50                push eax
0050A10E 0060 E8          add byte ptr ds:[eax-18],ah
0050A111 0000             add byte ptr ds:[eax],al
0050A113 0000             add byte ptr ds:[eax],al
0050A115 5E                pop esi
0050A116 83EE 06          sub esi,6
0050A119 B9 66000000       mov ecx,66
0050A11E 29CE             sub esi,ecx
0050A120 BA EEFDF861       mov edx,61F8FDEE
0050A125 C1E9 02          shr ecx,2
0050A128 83E9 02          sub ecx,2
0050A12B 83F9 00          cmp ecx,0
0050A12E 7C 1A             jl short bdfw.0050A14A
0050A130 8B048E             mov eax,dword ptr ds:[esi+ecx*4]
........

0050A109  - FF25 4BA15000    jmp dword ptr ds:[50A14B]                ; 第二次中断到这里，F8继续
0050A10F 60                pushad
0050A110 E8 00000000       call bdfw.0050A115
0050A115 5E                pop esi
0050A116 83EE 06          sub esi,6
0050A119 B9 66000000       mov ecx,66
0050A11E 29CE             sub esi,ecx
0050A120 BA EEFDF861       mov edx,61F8FDEE
0050A125 C1E9 02          shr ecx,2
0050A128 83E9 02          sub ecx,2
0050A12B 83F9 00          cmp ecx,0
0050A12E 7C 1A             jl short bdfw.0050A14A
0050A130 8B048E             mov eax,dword ptr ds:[esi+ecx*4]
0050A133 8B5C8E 04          mov ebx,dword ptr ds:[esi+ecx*4+4]
0050A137 03C3             add eax,ebx
0050A139 C1C8 06          ror eax,6
........

0043DBD8 6A 60             push 60                                  ; 在这儿用LordPE纠正ImageSize后完全Dump这个进程
0043DBDA 68 A08C4600       push bdfw.00468CA0
0043DBDF E8 402D0000       call bdfw.00440924
0043DBE4 BF 94000000       mov edi,94
0043DBE9 8BC7             mov eax,edi
0043DBEB E8 202B0000       call bdfw.00440710
0043DBF0 8965 E8          mov dword ptr ss:[ebp-18],esp
0043DBF3 8BF4             mov esi,esp
0043DBF5 893E             mov dword ptr ds:[esi],edi
0043DBF7 56                push esi
0043DBF8 FF15 A8424600    call dword ptr ds:[4642A8]             ; kernel32.GetVersionExA
0043DBFE 8B4E 10          mov ecx,dword ptr ds:[esi+10]
0043DC01 890D F80D4800    mov dword ptr ds:[480DF8],ecx
0043DC07 8B46 04          mov eax,dword ptr ds:[esi+4]
0043DC0A A3 040E4800       mov dword ptr ds:[480E04],eax
0043DC0F 8B56 08          mov edx,dword ptr ds:[esi+8]
0043DC12 8915 080E4800    mov dword ptr ds:[480E08],edx
........

运行ImportREC 1.6，选择这个进程。把OEP改为0003DBD8，依次点“自动搜索IAT”-->“获得输入信息”-->“显示无效函数”
然后有2个无效函数，第一个用“跟踪级别1(反汇编)”修复，第二个修复不了就“剪切指针”，这下OK了，函数全部有效.“修复抓取文件”，脱壳后的程序正常运行！编译语言：Microsoft Visual C++ 7.0

--------------------------------------------------------------------------------------------

版权所有（C）2005 KuNgBiM[DFCG][N.C.P.H]       Copyright (C) 2005 KuNgBiM[DFCG][N.C.P.H]

--------------------------------------------------------------------------------------------
      UnPacked By KuNgBiM[DFCG][N.C.P.H]

               2005-12-05

               22:29:18 PM

附件:冰盾抗DDOS防火墙V6.6 Build 51111主程序脱壳文件.rar

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (23)
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 2 楼这次终于坐到沙发啦！支持的说了！ 2005-12-5 13:47 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 3 楼不能不支持 2005-12-5 14:16 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 4 楼 hehe 2005-12-5 15:11 0
shaitan 雪币： 233 活跃值： (160) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 36 粉丝 1 关注私信	shaitan 1 5 楼运行ImportREC 1.6，选择这个进程。把OEP改为0003DBD8，依次点“自动搜索IAT”-->“获得输入信息”-->“显示无效函数” 然后有 1 个无效函数，用“跟踪级别1(反汇编)”无法修复。修复不了就“剪切指针”，这下OK了，函数全部有效.“修复抓取文件”，脱壳后的程序不能正常运行！结果不管无效就无效，修复运行正常。命令行下断：hr esp 回车 F9 跑飞。我用得 HR 12FFC0 2005-12-5 17:39 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 6 楼不错！ 2005-12-5 18:00 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 7 楼忠告：无意义的行为少作为妙 2005-12-5 18:51 0
goldenegg 雪币： 226 活跃值： (330) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 8 楼这软件以前用themida保护的啊现在不用了？ 2005-12-5 20:35 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 9 楼最初由 Themida 发布忠告：无意义的行为少作为妙个人认为揭露事情的真相并不是无意义 2005-12-5 21:08 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 10 楼哎,我的网速太慢 .无法下载. 2005-12-5 21:20 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 11 楼这个方法有点想是带发修行~呵呵 2005-12-5 21:37 0
marsaber 雪币： 267 活跃值： (280) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 131 粉丝 0 关注私信	marsaber 12 楼 2005-12-6 00:52 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 13 楼南蛮妈妈在想这个贴子是不是要留名 2005-12-6 09:07 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 14 楼鸡蛋壳???? 2005-12-6 10:24 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 15 楼真是简单但是不是有点太简单了? 2005-12-6 11:52 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 16 楼这个东西脱壳不是问题,关键是代码的加密技术,你跟踪下就应该能清楚是什么意思了.另外,我1年前脱的时候感觉不是acprotect的壳,虽说是那个区段. 2005-12-6 12:31 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 17 楼最初由 goldenegg 发布这软件以前用themida保护的啊现在不用了？像这类软件用THEMIDA那是脑壳有问题。对用户是一大侮辱。也说明自己是小产品的本质。 2005-12-7 17:35 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 18 楼这个壳不是听说很难吗？怎么这么简单？ 2005-12-7 17:48 0
ikey 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 157 粉丝 0 关注私信	ikey 19 楼冰盾抗DDOS防火墙（Bingdun Anti-DDOS Firewall）来自IT技术世界一流的美国硅谷，由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发，采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为，防火墙采用MicroKernel微内核和ActiveDefense主动防御引擎技术实现，工作在系统的最底层，充分发挥CPU的效能，仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明：在抗DDOS攻击方面，工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击，工作于1000M网卡冰盾约可抵御160万个SYN攻击包；在防黑客入侵方面，冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止，是迄今为止在抗DDOS领域功能最为强大的防火墙产品之一。看了想吐，虽然我不懂什么防火墙！ 2005-12-8 13:21 0
A天宇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 63 粉丝 0 关注私信	A天宇 20 楼能否写个注册的啊, 破解注册码之类 2005-12-14 12:00 0
Salivaxiu 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 127 粉丝 0 关注私信	Salivaxiu 21 楼 100M网卡每秒的报文能到25W么？迷惑啊。。。。。 2005-12-14 16:40 0
UniPho 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 66 粉丝 0 关注私信	UniPho 22 楼如果我没记错的话(但愿没记错) n久前曾经有人在这儿吹过这个软件的保护是多么的强悍 2005-12-16 12:57 0
RegKiller 雪币： 191 活跃值： (335) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 2 关注私信	RegKiller 10 23 楼 2006-1-14 21:05 0
killes 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 108 粉丝 0 关注私信	killes 24 楼不错的文章，学习中。。。 2006-1-15 14:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KuNgBiM

500

发帖

2517

回帖

2670

RANK

关注

私信

他的文章

PrimoCache.Server.Edition.0.9.9(Beta)-Cracked 5706

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 2 楼这次终于坐到沙发啦！支持的说了！ 2005-12-5 13:47 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 3 楼不能不支持 2005-12-5 14:16 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 4 楼 hehe 2005-12-5 15:11 0
shaitan 雪币： 233 活跃值： (160) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 36 粉丝 1 关注私信	shaitan 1 5 楼运行ImportREC 1.6，选择这个进程。把OEP改为0003DBD8，依次点“自动搜索IAT”-->“获得输入信息”-->“显示无效函数” 然后有 1 个无效函数，用“跟踪级别1(反汇编)”无法修复。修复不了就“剪切指针”，这下OK了，函数全部有效.“修复抓取文件”，脱壳后的程序不能正常运行！结果不管无效就无效，修复运行正常。命令行下断：hr esp 回车 F9 跑飞。我用得 HR 12FFC0 2005-12-5 17:39 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 6 楼不错！ 2005-12-5 18:00 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 7 楼忠告：无意义的行为少作为妙 2005-12-5 18:51 0
goldenegg 雪币： 226 活跃值： (330) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 8 楼这软件以前用themida保护的啊现在不用了？ 2005-12-5 20:35 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 9 楼最初由 Themida 发布忠告：无意义的行为少作为妙个人认为揭露事情的真相并不是无意义 2005-12-5 21:08 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 10 楼哎,我的网速太慢 .无法下载. 2005-12-5 21:20 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 11 楼这个方法有点想是带发修行~呵呵 2005-12-5 21:37 0
marsaber 雪币： 267 活跃值： (280) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 131 粉丝 0 关注私信	marsaber 12 楼 2005-12-6 00:52 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 13 楼南蛮妈妈在想这个贴子是不是要留名 2005-12-6 09:07 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 14 楼鸡蛋壳???? 2005-12-6 10:24 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 15 楼真是简单但是不是有点太简单了? 2005-12-6 11:52 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 16 楼这个东西脱壳不是问题,关键是代码的加密技术,你跟踪下就应该能清楚是什么意思了.另外,我1年前脱的时候感觉不是acprotect的壳,虽说是那个区段. 2005-12-6 12:31 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 17 楼最初由 goldenegg 发布这软件以前用themida保护的啊现在不用了？像这类软件用THEMIDA那是脑壳有问题。对用户是一大侮辱。也说明自己是小产品的本质。 2005-12-7 17:35 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 18 楼这个壳不是听说很难吗？怎么这么简单？ 2005-12-7 17:48 0
ikey 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 157 粉丝 0 关注私信	ikey 19 楼冰盾抗DDOS防火墙（Bingdun Anti-DDOS Firewall）来自IT技术世界一流的美国硅谷，由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发，采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为，防火墙采用MicroKernel微内核和ActiveDefense主动防御引擎技术实现，工作在系统的最底层，充分发挥CPU的效能，仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明：在抗DDOS攻击方面，工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击，工作于1000M网卡冰盾约可抵御160万个SYN攻击包；在防黑客入侵方面，冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止，是迄今为止在抗DDOS领域功能最为强大的防火墙产品之一。看了想吐，虽然我不懂什么防火墙！ 2005-12-8 13:21 0
A天宇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 63 粉丝 0 关注私信	A天宇 20 楼能否写个注册的啊, 破解注册码之类 2005-12-14 12:00 0
Salivaxiu 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 127 粉丝 0 关注私信	Salivaxiu 21 楼 100M网卡每秒的报文能到25W么？迷惑啊。。。。。 2005-12-14 16:40 0
UniPho 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 66 粉丝 0 关注私信	UniPho 22 楼如果我没记错的话(但愿没记错) n久前曾经有人在这儿吹过这个软件的保护是多么的强悍 2005-12-16 12:57 0
RegKiller 雪币： 191 活跃值： (335) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 2 关注私信	RegKiller 10 23 楼 2006-1-14 21:05 0
killes 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 108 粉丝 0 关注私信	killes 24 楼不错的文章，学习中。。。 2006-1-15 14:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复