首页
社区
课程
招聘
MSLRH V0.32 + MSLRH V0.32a UnPacK Script
发表于: 2006-2-2 03:15 7891

MSLRH V0.32 + MSLRH V0.32a UnPacK Script

fly 活跃值
85
2006-2-2 03:15
7891

//////////////////////////////////////////////////
//  FileName    :  MSLRH V0.32.osc
//  Comment     :  MSLRH V0.32 + MSLRH V0.32a UnPacK
//  Environment :  WinXP SP2,OllyDbg V1.10,OllyScript V0.92
//  Author      :  fly
//  WebSite     :  http://www.unpack.cn
//  Date        :  2006-02-01 15:00
//////////////////////////////////////////////////
#log
dbh

var Temp
var CreateMutexA
var CreateFileA
var ShareMode
var OutputDebugStringA
var ZwQueryInformationProcess
var rtr
var rtu
var CRC
var UPX
var OEP

MSGYN "Plz Clear All BreakPoints  And  Set Debugging Options : Exceptions -> Ignore all exceptions !   "
  cmp $RESULT, 0
  je TryAgain

//OutputDebugStringA――――――――――――――――――――――――――――――――

gpa "OutputDebugStringA", "KERNEL32.dll"
  cmp $RESULT,0
  je NoFind
  mov [$RESULT], #33C0C20400#
  add $RESULT,2
  mov OutputDebugStringA,$RESULT
  bp OutputDebugStringA

//FindWindowA――――――――――――――――――――――――――――――――

gpa "FindWindowA", "USER32.dll"
  cmp $RESULT, 0
  je NoFind
  mov [$RESULT], #33C0C20800#

//CreateMutexA――――――――――――――――――――――――――――――――

gpa "CreateMutexA", "KERNEL32.dll"
//find $RESULT,#C9C20C00#
  cmp $RESULT,0
  je NoFind
  mov CreateMutexA,$RESULT
  eob CreateMutexA
  bp CreateMutexA

  esto
  GoOn0:
  esto
  
CreateMutexA:
        cmp eip,OutputDebugStringA
        je MSLRH V0.32
  cmp eip,CreateMutexA
  jne GoOn0
  bc CreateMutexA
  
  find eip,#C20C00#
  mov rtr,$RESULT
  eob rtr
  bp rtr

  esto
GoOn1:
  esto

rtr:
  cmp eip,rtr
  jne GoOn1
  bc rtr
  
  mov eax,0
  
jmp MSLRH V0.32a

//MSLRH V0.32 + V0.32a――――――――――――――――――――――――――――――――

MSLRH V0.32:
  bc CreateMutexA
/*
0045D582    6A 00              push 0
0045D584    68 3A0C0000        push 0C3A
0045D589    FF56 28            call dword ptr ds:[esi+28] ; kernel32.OpenProcess
0045D58C    85C0               test eax,eax
0045D58E    0F85 5EABFFFF      jnz 004580F2
*/
gpa "OpenProcess", "KERNEL32.dll"
  mov [$RESULT], #33C0C20C00#

MSLRH V0.32a:       
  bc OutputDebugStringA       
  

//CreateFileA――――――――――――――――――――――――――――――――

gpa "CreateFileA", "KERNEL32.dll"
  cmp $RESULT,0
  je NoFind
  mov CreateFileA,$RESULT
  eob CreateFileA
  bphws CreateFileA,"x"

  esto
GoOn2:
  esto

CreateFileA:
  cmp eip,CreateFileA
  jne GoOn2
  bphwc CreateFileA
  mov Temp,[esp]
  mov ShareMode,esp
  add ShareMode,0C
  mov [ShareMode],00000003

//ZwQueryInformationProcess――――――――――――――――――――――――――――――――

gpa "ZwQueryInformationProcess","ntdll.dll"
  cmp $RESULT,0
  je NoFind
  mov ZwQueryInformationProcess,$RESULT
  eob ZwQueryInformationProcess
  bp ZwQueryInformationProcess

  esto
GoOn3:
  esto  

ZwQueryInformationProcess:
  cmp eip,ZwQueryInformationProcess
  jne GoOn3
  add Temp,1000
  cmp [esp],Temp
  ja GoOn2
  bc ZwQueryInformationProcess
  
  find eip,#C21400#
  mov rtu,$RESULT
  eob rtu
  bp rtu

  esto
GoOn4:
  esto

rtu:
  cmp eip,rtu
  jne GoOn4
  bc rtu
  sti
  mov [esp],00000000

//CRC――――――――――――――――――――――――――――――――

/*
00455A27    807E 0D 00         cmp byte ptr ds:[esi+D],0
00455A2B    0F85 C0C6FFFF      jnz 004520F1
00455A3A    807E 0E 00         cmp byte ptr ds:[esi+E],0
00455A3E    0F85 ADC6FFFF      jnz 004520F1
00455A5B    807E 0F 00         cmp byte ptr ds:[esi+F],0
00455A5F    0F85 8CC6FFFF      jnz 004520F1
*/

find eip,#807E0D000F#
  mov CRC,$RESULT
  eob CRC
  bphws CRC,"x"

  esto
GoOn5:
  esto

CRC:
  cmp eip,CRC
  jne GoOn5
  bphwc        CRC
  
  mov Temp,esi
  add Temp,0C
  mov [Temp],#00000000#

//UPX――――――――――――――――――――――――――――――――

/*
00455B74    68 2BF45F00        push 5FF42B
00455B79    C3                 retn
*/

find eip,#68????????C3#
  cmp $RESULT,0
  je NoFind
  mov Temp,$RESULT
  add Temp,5
  mov UPX,Temp
  eob UPX
  bp UPX

  esto
GoOn6:
  esto
  
UPX:
  cmp eip,UPX
  jne GoOn6
  bc UPX
  sti
  
  
//OEP――――――――――――――――――――――――――――――――   

find eip, #61E9#
  cmp $RESULT,0
  je GameOver
  add $RESULT,1
  mov OEP,$RESULT
  eob OEP
  bp OEP

  esto
GoOn7:
  esto
  
OEP:
  cmp eip,OEP
  jne GoOn7
  bc OEP
  sti
       

//GameOver――――――――――――――――――――――――――――――――

GameOver:
log eip
  cmt eip, "This is the (Stolen) OEP! Found By: fly"
  MSG "Just : OEP !  Dump and Fix IAT.  Good Luck  "
  ret

NoFind:
  MSG "Error! Maybe It's not MSLRH V0.32a ! "
  ret

TryAgain:
  MSG " Plz  Try  Again   !   "
  ret


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (7)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
感谢emadicius测试UnPacK Script,呵呵

[MSLRH] v0.32a - Martes, 3 May 2005

Simple protector de EXEs Win32. Está escrito en ASM usando RadAsm y compilado con Masm. Es de uso libre tanto para uso personal como para uso comercial.

Características:
Encriptación de la sección código
Antidebug y Antitraceo
Antidump
Stolen bytes
Signaturas falsas para confundir al analizador Peid
Protección basada en password

Novedades:
- Problemas relacionados con Win98 y W2000 supuestamente solucionados.
- Mas antidebug.
- Cambios menores.

MSLRH V0.32a下载页面:
http://emadicius.rvlcnsecurity.com/programas/index.html
2006-2-2 03:18
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
DING
2006-2-2 13:22
0
雪    币: 538
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
拨开云雾~~~~
2006-2-2 13:49
0
雪    币: 146
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
脚本高产啊,有脱壳机更爽。
2006-2-2 19:43
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
UPX
6
MSLRH不咋样
除了反调试还有啥
2006-2-4 22:35
0
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
7
hehe 精华的人说精华的语言
2006-2-6 14:10
0
雪    币: 264
活跃值: (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
学习了DING
2006-2-10 12:25
0
游客
登录 | 注册 方可回帖
返回
//