首页
社区
课程
招聘
[原创]softdefender脱壳
发表于: 2015-5-5 22:50 8043

[原创]softdefender脱壳

2015-5-5 22:50
8043

最近学习脱壳,在网上下了个softdefender加壳工具共享版。加壳工具本身就是用softdefender加的壳。就拿来试了下。希望高手多指教。

OD版本是OllyICE,用StrongOD隐藏插件隐藏OD。除BreakOnTls RemoveEPone-shot BreakOnLdr其它都选上。
PhantOm options选上protect DRx.

1.双进程转单进程
softdefender双进程转单进程参考peaceclub的方法。贴子中有详细介绍,为了完整性,我也还是再描述一下。
用kerberos加载程序,点击inject。生成rep文件。

SoftDefender | 004CCD53 | GetCommandLineA() returns: 002523A0
SoftDefender | 004CCDBF | CreateProcessA(00000000, 004CC24C: "F:\tools\hack\", 00000000, 00000000, 00000001, 00000000, 00000000, 00000000, 004CC350, 004CC23C) returns: 00000001
SoftDefender | 004CCDD7 | ExitProcess(00000000) 
004CCD32    0010            add     byte ptr [eax], dl
004CCD34    40              inc     eax
004CCD35    00E8            add     al, ch
004CCD37    0F84 9A000000   je      004CCDD7                    ;修改z标志位跳转实现
004CCD3D    E8 01000000     call    004CCD43
004C9E10    8917            mov     dword ptr [edi], edx
004C9E12    83C7 04         add     edi, 0x4
004C9E15    49              dec     ecx
004C9E16  ^ 75 F3           jnz     short 004C9E0B
004C9F5A    F7D8            neg     eax
004C9F5C    83C4 0C         add     esp, 0xC
004C9F5F    5A              pop     edx
004C9F60    59              pop     ecx
004C9F61    5B              pop     ebx
004C9F62    5E              pop     esi
004C9F63    5F              pop     edi
004C9F64    5D              pop     ebp
004C9F65    C3              retn
004D3B4A    8B17            mov     edx, dword ptr [edi]
004D3B4C    8B47 10         mov     eax, dword ptr [edi+0x10]
004D3B4F    0BD0            or      edx, eax
004D3B51    0F84 0B050000   je      004D4062
004D3DE2    E8 11F4FFFF     call    004D31F8     ;这个call调用完edi出现函数名
004D3DE7    8B8424 44040000 mov     eax, dword ptr [esp+0x444]
004D3DEE    85C0            test    eax, eax
004D3DF0    0F84 D7010000   je      004D3FCD            ;改为jmp
004D3DF6    8B4424 18       mov     eax, dword ptr [esp+0x18]
004D3DFA    85C0            test    eax, eax
004D401A    8B5C24 34       mov     ebx, dword ptr [esp+0x34]
004D401E    8B7C24 20       mov     edi, dword ptr [esp+0x20]
004D4022    83C5 04         add     ebp, 0x4
004D4025    83C6 04         add     esi, 0x4
004D4028  ^ E9 BAFCFFFF     jmp     004D3CE7
004D402D    E8 35E4FFFF     call    004D2467         ;此处 为校验call f7步入

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 3
支持
分享
最新回复 (5)
雪    币: 1895
活跃值: (1657)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
2
深夜福利~感谢分享。
2015-5-6 00:10
0
雪    币: 133
活跃值: (233)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
学习啦,谢谢分享
2015-5-6 09:09
0
雪    币: 22
活跃值: (44)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
学习啦,谢谢分享
2015-5-7 10:18
0
雪    币: 211
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
把SE的软件也发个连接吧 方便我们这些菜鸟学习下!
2015-7-1 22:03
0
雪    币: 807
活跃值: (2273)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
本论坛还有另外一篇教程可以做参考,链接如下:
SoftDefender主程序脱壳 by shinegood
上传的附件:
2015-7-1 22:39
0
游客
登录 | 注册 方可回帖
返回
//