首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[原创]三次内存断点脱UltraProtect 1.x
发表于: 2006-3-8 12:22 4755

[原创]三次内存断点脱UltraProtect 1.x

laomms 活跃值
34
2006-3-8 12:22
4755
【文章标题】: 三次内存断点脱UltraProtect 1.x
【软件名称】: 网络计划编制系统
【软件大小】: 8M
【下载地址】: 自己搜索下载
【加壳方式】:  UltraProtect 1.x
【使用工具】: flyollydbg loadpe importREC
【操作平台】: WINXP SP2
【软件介绍】: 无需画草图,画一次图,同时生成网络计划图和横道图..
【作者声明】: 测试一下clide2000大侠的破文生成器
--------------------------------------------------------------------------------
【详细过程】
  该软件是被人破解后重新加了壳,为了对比与原文件的区别,将文件脱壳后进行了对比。PEID查看,壳为UltraProtect 1.x -> RISCO Software Inc.进入实战:
  
  1、OD忽略所有异常,载入加壳软件:
  00823000 >  60              PUSHAD                                   ; 壳入口点
  00823001    E8 01000000     CALL 品茗网络.00823007
  00823006  - 7C 83           JL SHORT 品茗网络.00822F8B
  00823008    04 24           ADD AL,24
  0082300A    06              PUSH ES
  0082300B    C3              RETN
  0082300C    87D9            XCHG ECX,EBX
  0082300E    85CB            TEST EBX,ECX
  00823010    87D3            XCHG EBX,EDX
  00823012    E8 01000000     CALL 品茗网络.00823018
  00823017  - 74 83           JE SHORT 品茗网络.00822F9C
  00823019    04 24           ADD AL,24
  0082301B    06              PUSH ES
  0082301C    C3              RETN
  
  2、ALT+M打开内存镜像,CODE断下内存访问断点,F9运行:
  00835583    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>; 停在此处
  00835585    58              POP EAX
  00835586    50              PUSH EAX
  00835587    FFB5 4AF84000   PUSH DWORD PTR SS:[EBP+40F84A]
  0083558D    E8 2C4C0000     CALL 品茗网络.0083A1BE
  00835592    FFB5 4AF84000   PUSH DWORD PTR SS:[EBP+40F84A]
  00835598    FF95 03FD4000   CALL DWORD PTR SS:[EBP+40FD03]
  0083559E    5E              POP ESI
  0083559F    83C6 08         ADD ESI,8
  008355A2  ^ EB B1           JMP SHORT 品茗网络.00835555
  
  3、ALT+M再次打开内存镜像,DATA断下内存写入断点,F9运行:
  0083A221    8807            MOV BYTE PTR DS:[EDI],AL                 ; 停在此处
  0083A223    47              INC EDI
  0083A224  ^ EB C6           JMP SHORT 品茗网络.0083A1EC
  0083A226    03D2            ADD EDX,EDX
  0083A228    75 0C           JNZ SHORT 品茗网络.0083A236
  
  4、ALT+M三次打开内存镜像,重新在CODE断下内存访问断点,F9运行,停在OEP处:
  005FA468    55              PUSH EBP                                 ; OEP
  005FA469    8BEC            MOV EBP,ESP
  005FA46B    83C4 E4         ADD ESP,-1C
  005FA46E    53              PUSH EBX
  005FA46F    56              PUSH ESI
  005FA470    57              PUSH EDI
  005FA471    33C0            XOR EAX,EAX
  005FA473    8945 E4         MOV DWORD PTR SS:[EBP-1C],EAX
  005FA476    8945 EC         MOV DWORD PTR SS:[EBP-14],EAX
  005FA479    8945 E8         MOV DWORD PTR SS:[EBP-18],EAX
  005FA47C    B8 C09E5F00     MOV EAX,品茗网络.005F9EC0
  
  5、LOADPE转存后用importREC修复输入表,OEP:001FA468,Get Imports,Cut掉无效指针,FIXDUMP,保存后运行正常。运气好,碰到软柿子,IAT也没有加密,好像ACProtect都是很变态的。
  
--------------------------------------------------------------------------------

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (7)
南蛮妈妈
雪    币: 233
活跃值: (130)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
2
今天教程很多啊,学习
2006-3-8 12:36
0
chinadev
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
呵呵 ~可以试试这个~
上传的附件:
2006-3-8 13:01
0
小仙
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
学习了一下不错
2006-3-8 15:44
0
playx
雪    币: 146
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢~
2006-3-9 10:43
0
xiaoboy
雪    币: 224
活跃值: (75)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
6
运气真好 这么简单 学习了
2006-3-9 18:30
0
opxlz
雪    币: 234
活跃值: (25)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
7
不错 呵呵学习到了
2006-3-9 21:36
0
最懂女人
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
学习真的好重要,就是我这只莱鸟实在是好难看懂呀
2006-3-25 23:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//