MSLRH V0.32 + MSLRH V0.32a UnPacK Script-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

MSLRH V0.32 + MSLRH V0.32a UnPacK Script

发表于: 2006-2-2 03:15 7891

MSLRH V0.32 + MSLRH V0.32a UnPacK Script

fly

2006-2-2 03:15

7891

//////////////////////////////////////////////////
//  FileName :  MSLRH V0.32.osc
//  Comment    :  MSLRH V0.32 + MSLRH V0.32a UnPacK
//  Environment :  WinXP SP2,OllyDbg V1.10,OllyScript V0.92
//  Author    :  fly
//  WebSite    :  http://www.unpack.cn
//  Date       :  2006-02-01 15:00
//////////////////////////////////////////////////
#log
dbh

var Temp
var CreateMutexA
var CreateFileA
var ShareMode
var OutputDebugStringA
var ZwQueryInformationProcess
var rtr
var rtu
var CRC
var UPX
var OEP

MSGYN "Plz Clear All BreakPoints  And  Set Debugging Options : Exceptions -> Ignore all exceptions ! "
  cmp $RESULT, 0
  je TryAgain

//OutputDebugStringA――――――――――――――――――――――――――――――――

gpa "OutputDebugStringA", "KERNEL32.dll"
  cmp $RESULT,0
  je NoFind
  mov [$RESULT], #33C0C20400#
  add $RESULT,2
  mov OutputDebugStringA,$RESULT
  bp OutputDebugStringA

//FindWindowA――――――――――――――――――――――――――――――――

gpa "FindWindowA", "USER32.dll"
  cmp $RESULT, 0
  je NoFind
  mov [$RESULT], #33C0C20800#

//CreateMutexA――――――――――――――――――――――――――――――――

gpa "CreateMutexA", "KERNEL32.dll"
//find $RESULT,#C9C20C00#
  cmp $RESULT,0
  je NoFind
  mov CreateMutexA,$RESULT
  eob CreateMutexA
  bp CreateMutexA

  esto
  GoOn0:
  esto

CreateMutexA:
cmp eip,OutputDebugStringA
je MSLRH V0.32
  cmp eip,CreateMutexA
  jne GoOn0
  bc CreateMutexA

  find eip,#C20C00#
  mov rtr,$RESULT
  eob rtr
  bp rtr

  esto
GoOn1:
  esto

rtr:
  cmp eip,rtr
  jne GoOn1
  bc rtr

  mov eax,0

jmp MSLRH V0.32a

//MSLRH V0.32 + V0.32a――――――――――――――――――――――――――――――――

MSLRH V0.32:
  bc CreateMutexA
/*
0045D582 6A 00             push 0
0045D584 68 3A0C0000       push 0C3A
0045D589 FF56 28          call dword ptr ds:[esi+28] ; kernel32.OpenProcess
0045D58C 85C0             test eax,eax
0045D58E 0F85 5EABFFFF    jnz 004580F2
*/
gpa "OpenProcess", "KERNEL32.dll"
  mov [$RESULT], #33C0C20C00#

MSLRH V0.32a:
  bc OutputDebugStringA


//CreateFileA――――――――――――――――――――――――――――――――

gpa "CreateFileA", "KERNEL32.dll"
  cmp $RESULT,0
  je NoFind
  mov CreateFileA,$RESULT
  eob CreateFileA
  bphws CreateFileA,"x"

  esto
GoOn2:
  esto

CreateFileA:
  cmp eip,CreateFileA
  jne GoOn2
  bphwc CreateFileA
  mov Temp,[esp]
  mov ShareMode,esp
  add ShareMode,0C
  mov [ShareMode],00000003

//ZwQueryInformationProcess――――――――――――――――――――――――――――――――

gpa "ZwQueryInformationProcess","ntdll.dll"
  cmp $RESULT,0
  je NoFind
  mov ZwQueryInformationProcess,$RESULT
  eob ZwQueryInformationProcess
  bp ZwQueryInformationProcess

  esto
GoOn3:
  esto

ZwQueryInformationProcess:
  cmp eip,ZwQueryInformationProcess
  jne GoOn3
  add Temp,1000
  cmp [esp],Temp
  ja GoOn2
  bc ZwQueryInformationProcess

  find eip,#C21400#
  mov rtu,$RESULT
  eob rtu
  bp rtu

  esto
GoOn4:
  esto

rtu:
  cmp eip,rtu
  jne GoOn4
  bc rtu
  sti
  mov [esp],00000000

//CRC――――――――――――――――――――――――――――――――

/*
00455A27 807E 0D 00       cmp byte ptr ds:[esi+D],0
00455A2B 0F85 C0C6FFFF    jnz 004520F1
00455A3A 807E 0E 00       cmp byte ptr ds:[esi+E],0
00455A3E 0F85 ADC6FFFF    jnz 004520F1
00455A5B 807E 0F 00       cmp byte ptr ds:[esi+F],0
00455A5F 0F85 8CC6FFFF    jnz 004520F1
*/

find eip,#807E0D000F#
  mov CRC,$RESULT
  eob CRC
  bphws CRC,"x"

  esto
GoOn5:
  esto

CRC:
  cmp eip,CRC
  jne GoOn5
  bphwc CRC

  mov Temp,esi
  add Temp,0C
  mov [Temp],#00000000#

//UPX――――――――――――――――――――――――――――――――

/*
00455B74 68 2BF45F00       push 5FF42B
00455B79 C3                retn
*/

find eip,#68????????C3#
  cmp $RESULT,0
  je NoFind
  mov Temp,$RESULT
  add Temp,5
  mov UPX,Temp
  eob UPX
  bp UPX

  esto
GoOn6:
  esto

UPX:
  cmp eip,UPX
  jne GoOn6
  bc UPX
  sti


//OEP――――――――――――――――――――――――――――――――

find eip, #61E9#
  cmp $RESULT,0
  je GameOver
  add $RESULT,1
  mov OEP,$RESULT
  eob OEP
  bp OEP

  esto
GoOn7:
  esto

OEP:
  cmp eip,OEP
  jne GoOn7
  bc OEP
  sti

//GameOver――――――――――――――――――――――――――――――――

GameOver:
log eip
  cmt eip, "This is the (Stolen) OEP! Found By: fly"
  MSG "Just : OEP !  Dump and Fix IAT.  Good Luck  "
  ret

NoFind:
  MSG "Error! Maybe It's not MSLRH V0.32a ! "
  ret

TryAgain:
  MSG " Plz  Try  Again ! "
  ret

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・7

支持

最新回复 (7)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼感谢emadicius测试UnPacK Script，呵呵 [MSLRH] v0.32a - Martes, 3 May 2005 Simple protector de EXEs Win32. Está escrito en ASM usando RadAsm y compilado con Masm. Es de uso libre tanto para uso personal como para uso comercial. Características: Encriptación de la sección código Antidebug y Antitraceo Antidump Stolen bytes Signaturas falsas para confundir al analizador Peid Protección basada en password Novedades: - Problemas relacionados con Win98 y W2000 supuestamente solucionados. - Mas antidebug. - Cambios menores. MSLRH V0.32a下载页面： http://emadicius.rvlcnsecurity.com/programas/index.html 2006-2-2 03:18 0
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 3 楼 DING 2006-2-2 13:22 0
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 4 楼拨开云雾~~~~ 2006-2-2 13:49 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 5 楼脚本高产啊，有脱壳机更爽。 2006-2-2 19:43 0
UPX 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	UPX 6 楼 MSLRH不咋样除了反调试还有啥 2006-2-4 22:35 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 7 楼 hehe 精华的人说精华的语言 2006-2-6 14:10 0
lcjxb 雪币： 264 活跃值： (44) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	lcjxb 1 8 楼学习了ＤＩＮＧ 2006-2-10 12:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼感谢emadicius测试UnPacK Script，呵呵 [MSLRH] v0.32a - Martes, 3 May 2005 Simple protector de EXEs Win32. Está escrito en ASM usando RadAsm y compilado con Masm. Es de uso libre tanto para uso personal como para uso comercial. Características: Encriptación de la sección código Antidebug y Antitraceo Antidump Stolen bytes Signaturas falsas para confundir al analizador Peid Protección basada en password Novedades: - Problemas relacionados con Win98 y W2000 supuestamente solucionados. - Mas antidebug. - Cambios menores. MSLRH V0.32a下载页面： http://emadicius.rvlcnsecurity.com/programas/index.html 2006-2-2 03:18 0
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 3 楼 DING 2006-2-2 13:22 0
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 4 楼拨开云雾~~~~ 2006-2-2 13:49 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 5 楼脚本高产啊，有脱壳机更爽。 2006-2-2 19:43 0
UPX 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	UPX 6 楼 MSLRH不咋样除了反调试还有啥 2006-2-4 22:35 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 7 楼 hehe 精华的人说精华的语言 2006-2-6 14:10 0
lcjxb 雪币： 264 活跃值： (44) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	lcjxb 1 8 楼学习了ＤＩＮＧ 2006-2-10 12:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复