eXe32Pack V1.38加壳的EXE和DLL的简便脱壳方法――影音传送带(Net Transport) V1.90-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

eXe32Pack V1.38加壳的EXE和DLL的简便脱壳方法――影音传送带(Net Transport) V1.90

发表于: 2004-6-24 02:03 15095

eXe32Pack V1.38加壳的EXE和DLL的简便脱壳方法――影音传送带(Net Transport) V1.90

fly

2004-6-24 02:03

15095

下载页面：  http://www.skycn.com/soft/9541.html
软件大小：  1949 KB
软件语言：  简体中文
软件类别：  国产软件 / 免费版 / 下载工具
应用平台：  Win9x/NT/2000/XP
加入时间：  2004-06-22 17:58:43
下载次数：  3819145
推荐等级：  ****
软件介绍：  影音传送带是一个高效稳定功能强大的下载工具，下载速度一流，CPU占用率低，尤其在宽带上特别明显；内建易于使用的文件管理器，轻松实现按类别存放下载的文件。而且只要站点支持，这些协议均支持多线程断点续传。MMS协议流每秒的字节数差不多是固定的，这就决定了MMS流本身不能充分利用用户的带宽资源，所以多线程技术能有效地缩短MMS流下载的时间。RTSP同样支持多线程，另外选中“流/最大速度”能明显提速，效果立竿见影。影音传送带支持HTTPS(加密套接字协议层)，并且支持经过HTTP、SOCKS4&5等代理下载；FTP同样支持SSL，可以有效地保护传输的数据安全。

【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！

【调试环境】：WinXP、Ollydbg1.10、PEiD、LordPE、ImportREC

―――――――――――――――――――――――――――――――――
【脱壳过程】：


DosKey兄弟提出这个程序的eXe32Pack壳，无法用PE-Scan自动脱壳，手脱后还有校验无法运行。所以抽点时间看看，恰好DLL脱壳系列中还没有eXe32Pack，呵呵。目标程序可以去天空下载，主程序NetTransport.exe和libcrypto.dll等几个DLL都是采用eXe32Pack加壳的。

―――――――――――――――――――――――――――――――――
一、主程序NetTransport.exe 脱壳

004E400C     3BC0                cmp eax,eax//进入OD后停在这
004E400E     74 02               je short NetTrans.004E4012
004E4010     8185 553BC074 02818>add dword ptr ss:[ebp+74C03B55],53808102
004E401A     3BD2                cmp edx,edx
004E401C     74 01               je short NetTrans.004E401F

00536ECC     FFD0                call eax ;IsDebuggerPresent
00536ECE     8BBD D13C4000       mov edi,dword ptr ss:[ebp+403CD1]//返回这里！
00536ED4     03BD F73C4000       add edi,dword ptr ss:[ebp+403CF7]
//EDI=00088EAA + 00400000=00488EAA   这个就是OEP值啦 ★

00488EAA     55                  push ebp//在这儿用LordPE完全DUMP这个进程
00488EAB     8BEC                mov ebp,esp
00488EAD     6A FF               push -1
00488EAF     68 B8864900         push NetTrans.004986B8
00488EB4     68 36904800         push NetTrans.00489036 ; jmp to msvcrt._except_handler3
00488EB9     64:A1 00000000      mov eax,dword ptr fs:[0]
00488EBF     50                  push eax
00488EC0     64:8925 00000000    mov dword ptr fs:[0],esp
00488EC7     83EC 68             sub esp,68
00488ECA     53                  push ebx
00488ECB     56                  push esi
00488ECC     57                  push edi
00488ECD     8965 E8             mov dword ptr ss:[ebp-18],esp
00488ED0     33DB                xor ebx,ebx
00488ED2     895D FC             mov dword ptr ss:[ebp-4],ebx
00488ED5     6A 02               push 2
00488ED7     FF15 B4EA4800       call dword ptr ds:[48EAB4]; msvcrt.__set_app_type

1003300C     3BC9                cmp ecx,ecx//进入OD后停在这
1003300E     74 02               je short libcrypt.10033012
10033010     8181 553BC974 02818>add dword ptr ds:[ecx+74C93B55],53848102
1003301A     3BC9                cmp ecx,ecx
1003301C     74 01               je short libcrypt.1003301F

10045A65     FFD0                call eax
10045A67     8BBD D13C4000       mov edi,dword ptr ss:[ebp+403CD1]//返回这里！
10045A6D     03BD F73C4000       add edi,dword ptr ss:[ebp+403CF7]
//EDI=0001C7AA + 10000000=1001C7AA   这个就是OEP值啦 ★

1004573B     74 01               je short libcrypt.1004573E
1004573D     BE 2BBDD53C         mov esi,3CD5BD2B
10045742     40                  inc eax
10045743     000F                add byte ptr ds:[edi],cl//找到这里
10045745     84F7                test bh,dh

1004573E     2BBD D53C4000       sub edi,dword ptr ss:[ebp+403CD5]
10045744     0F84 F7000000       je libcrypt.10045841

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・5

免费・8

支持

最新回复 (20)
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 2 楼强悍.... 2004-6-24 03:24 0
游客雪币：能力值： (RANK： ) 在线值：发帖 0 回帖 0 粉丝关注私信	游客 3 楼辛苦了╋著著。 2004-6-24 05:13 编辑删除 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 4 楼学习 2004-6-24 06:59 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 5 楼因为NetTransport将要收费了，昨天我也看了，并把他脱了，没想到 Fly 已经发布脱文了。 :p 2004-6-24 07:32 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 6 楼顶~! 2004-6-24 07:41 0
xeno 雪币： 236 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 195 粉丝 0 关注私信	xeno 2 7 楼强力支持:D 2004-6-24 12:53 0
china 雪币： 3688 活跃值： (4242) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 8 楼根据教程做了exe和dll，结果还是不能用，fly放你FIXED了的dll上来看看。偶做的最新的1.91。271 2004-7-24 08:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼最初由 china 发布根据教程做了exe和dll，结果还是不能用，fly放你FIXED了的dll上来看看。偶做的最新的1.91。271 UnPaked - NetTransport V1.91 问ABC老大好脱壳方面是相似的。检验部分如下：可以BP GetFileAttributesA 0045EF86 FF15 DC204900 call dword ptr ds:[<&kernel32.GetFileAttributesA>] 0045EF8C 83F8 FF cmp eax,-1 0045EF8F 74 24 je short NetTrans.0045EFB5 0045EF91 8D8C24 A4010000 lea ecx,dword ptr ss:[esp+1A4] 0045EF98 8D5424 70 lea edx,dword ptr ss:[esp+70] 0045EF9C 51 push ecx 0045EF9D 6A 30 push 30 0045EF9F 52 push edx 0045EFA0 68 24010000 push 124 0045EFA5 68 00104000 push NetTrans.00401000 0045EFAA FF5424 24 call dword ptr ss:[esp+24]; libcrypt.wx_CheckFile //DLL中检验 0045EFAE 83C4 14 add esp,14 0045EFB1 3C 01 cmp al,1 0045EFB3 74 16 je short NetTrans.0045EFCB//不跳就出错了进入libcrypt.DLL中修改： 00E642AE E8 7D10FFFF call libcrypt.00E55330 00E642B3 8B8C24 58020000 mov ecx,dword ptr ss:[esp+258] 00E642BA 8AC3 mov al,bl//改为：mov al,1 ★ 00E642BC 5E pop esi 00E642BD 5B pop ebx 00E642BE 64:890D 00000000 mov dword ptr fs:[0],ecx 00E642C5 81C4 5C020000 add esp,25C 00E642CB C3 retn 附件中的是NetTransport.exe和libcrypto.dll的UnPacked 请测试点击下载:附件！UnPaked――NetTransport V1.91.rar 2004-7-24 13:44 0
benladen 雪币： 3178 活跃值： (2820) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 10 楼学习 2004-7-24 13:51 0
china 雪币： 3688 活跃值： (4242) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 11 楼完成，重新做了一遍，竟然299K，比你的大多了，不知道怎么优化一下。 2004-7-24 15:47 0
sigporsson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	sigporsson 12 楼删除壳添加的区段，然后用 LoadPE 重建一下:) 2004-7-24 18:04 0
china 雪币： 3688 活跃值： (4242) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 13 楼最初由 sigporsson 发布删除壳添加的区段，然后用 LoadPE 重建一下:) 偶去试试，谢谢 2004-7-24 19:23 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 14 楼好文收藏！ 2004-7-24 19:46 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 15 楼 00401570 6A db 6A ; CHAR 'j' 00401571 74 db 74 ; CHAR 't' 00401572 68 db 68 ; CHAR 'h' 00401573 08 db 08 00401574 C3 db C3 00401575 41 db 41 ; CHAR 'A' 00401576 00 db 00 00401577 E8 db E8 00401578 DC db DC 00401579 02 db 02 0040157A 00 db 00 0040157B 00 db 00 0040157C 33 db 33 ; CHAR '3' 0040157D DB db DB 0040157E 89 db 89 0040157F 5D db 5D ; CHAR ']' 00401580 E0 db E0 00401581 53 db 53 ; CHAR 'S' 00401582 . 8B3D 84C0>mov edi,dword ptr ds:[41C084] ; kernel32.GetModuleHandleA 不是标准的壳? 2005-10-11 00:35 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 16 楼楼上把1年前的贴子顶上来了,汗! 标准VC7 MFC的头 Ctrl + A 一下就看清楚了 2005-10-11 09:17 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 17 楼最初由南蛮妈妈发布楼上把1年前的贴子顶上来了,汗! 标准VC7 MFC的头 Ctrl + A 一下就看清楚了明白了谢谢! 2005-10-12 00:56 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 18 楼运行ImportREC，选择这个进程。把OEP改为00088EAA，点IT AutoSearch，点“Get Import”，FixDump！删除eXe32Pack壳“”的区段，然后用LordPE重建PE，简单优化一下脱壳后的文件。EXE脱壳完成啦 "r" 一定要删除吗? 怎么删除? 我脱了一个类似的壳没成功,fixdump 成功了,后面的我就不会了,大虾帮忙说说! 2005-10-12 00:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼修复好输入表就行了删不删此区段无所谓 2005-10-12 08:52 0
cwsff 雪币： 17 活跃值： (379) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	cwsff 20 楼支持一下收藏 2005-10-12 11:23 0
ddrit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	ddrit 21 楼 very good 2005-10-13 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 2 楼强悍.... 2004-6-24 03:24 0
游客雪币：能力值： (RANK： ) 在线值：发帖 0 回帖 0 粉丝关注私信	游客 3 楼辛苦了╋著著。 2004-6-24 05:13 编辑删除 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 4 楼学习 2004-6-24 06:59 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 5 楼因为NetTransport将要收费了，昨天我也看了，并把他脱了，没想到 Fly 已经发布脱文了。 :p 2004-6-24 07:32 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 6 楼顶~! 2004-6-24 07:41 0
xeno 雪币： 236 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 195 粉丝 0 关注私信	xeno 2 7 楼强力支持:D 2004-6-24 12:53 0
china 雪币： 3688 活跃值： (4242) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 8 楼根据教程做了exe和dll，结果还是不能用，fly放你FIXED了的dll上来看看。偶做的最新的1.91。271 2004-7-24 08:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼最初由 china 发布根据教程做了exe和dll，结果还是不能用，fly放你FIXED了的dll上来看看。偶做的最新的1.91。271 UnPaked - NetTransport V1.91 问ABC老大好脱壳方面是相似的。检验部分如下：可以BP GetFileAttributesA 0045EF86 FF15 DC204900 call dword ptr ds:[<&kernel32.GetFileAttributesA>] 0045EF8C 83F8 FF cmp eax,-1 0045EF8F 74 24 je short NetTrans.0045EFB5 0045EF91 8D8C24 A4010000 lea ecx,dword ptr ss:[esp+1A4] 0045EF98 8D5424 70 lea edx,dword ptr ss:[esp+70] 0045EF9C 51 push ecx 0045EF9D 6A 30 push 30 0045EF9F 52 push edx 0045EFA0 68 24010000 push 124 0045EFA5 68 00104000 push NetTrans.00401000 0045EFAA FF5424 24 call dword ptr ss:[esp+24]; libcrypt.wx_CheckFile //DLL中检验 0045EFAE 83C4 14 add esp,14 0045EFB1 3C 01 cmp al,1 0045EFB3 74 16 je short NetTrans.0045EFCB//不跳就出错了进入libcrypt.DLL中修改： 00E642AE E8 7D10FFFF call libcrypt.00E55330 00E642B3 8B8C24 58020000 mov ecx,dword ptr ss:[esp+258] 00E642BA 8AC3 mov al,bl//改为：mov al,1 ★ 00E642BC 5E pop esi 00E642BD 5B pop ebx 00E642BE 64:890D 00000000 mov dword ptr fs:[0],ecx 00E642C5 81C4 5C020000 add esp,25C 00E642CB C3 retn 附件中的是NetTransport.exe和libcrypto.dll的UnPacked 请测试点击下载:附件！UnPaked――NetTransport V1.91.rar 2004-7-24 13:44 0
benladen 雪币： 3178 活跃值： (2820) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 10 楼学习 2004-7-24 13:51 0
china 雪币： 3688 活跃值： (4242) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 11 楼完成，重新做了一遍，竟然299K，比你的大多了，不知道怎么优化一下。 2004-7-24 15:47 0
sigporsson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	sigporsson 12 楼删除壳添加的区段，然后用 LoadPE 重建一下:) 2004-7-24 18:04 0
china 雪币： 3688 活跃值： (4242) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1985 粉丝 9 关注私信	china 5 13 楼最初由 sigporsson 发布删除壳添加的区段，然后用 LoadPE 重建一下:) 偶去试试，谢谢 2004-7-24 19:23 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 14 楼好文收藏！ 2004-7-24 19:46 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 15 楼 00401570 6A db 6A ; CHAR 'j' 00401571 74 db 74 ; CHAR 't' 00401572 68 db 68 ; CHAR 'h' 00401573 08 db 08 00401574 C3 db C3 00401575 41 db 41 ; CHAR 'A' 00401576 00 db 00 00401577 E8 db E8 00401578 DC db DC 00401579 02 db 02 0040157A 00 db 00 0040157B 00 db 00 0040157C 33 db 33 ; CHAR '3' 0040157D DB db DB 0040157E 89 db 89 0040157F 5D db 5D ; CHAR ']' 00401580 E0 db E0 00401581 53 db 53 ; CHAR 'S' 00401582 . 8B3D 84C0>mov edi,dword ptr ds:[41C084] ; kernel32.GetModuleHandleA 不是标准的壳? 2005-10-11 00:35 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 16 楼楼上把1年前的贴子顶上来了,汗! 标准VC7 MFC的头 Ctrl + A 一下就看清楚了 2005-10-11 09:17 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 17 楼最初由南蛮妈妈发布楼上把1年前的贴子顶上来了,汗! 标准VC7 MFC的头 Ctrl + A 一下就看清楚了明白了谢谢! 2005-10-12 00:56 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 18 楼运行ImportREC，选择这个进程。把OEP改为00088EAA，点IT AutoSearch，点“Get Import”，FixDump！删除eXe32Pack壳“”的区段，然后用LordPE重建PE，简单优化一下脱壳后的文件。EXE脱壳完成啦 "r" 一定要删除吗? 怎么删除? 我脱了一个类似的壳没成功,fixdump 成功了,后面的我就不会了,大虾帮忙说说! 2005-10-12 00:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼修复好输入表就行了删不删此区段无所谓 2005-10-12 08:52 0
cwsff 雪币： 17 活跃值： (379) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	cwsff 20 楼支持一下收藏 2005-10-12 11:23 0
ddrit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	ddrit 21 楼 very good 2005-10-13 15:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复