[原创]ESP定律巧脱Protection Plus 4.x壳SoftwareKey V1.3.1.0主程序-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]ESP定律巧脱Protection Plus 4.x壳SoftwareKey V1.3.1.0主程序

发表于: 2006-3-9 03:05 6656

[原创]ESP定律巧脱Protection Plus 4.x壳SoftwareKey V1.3.1.0主程序

KuNgBiM

2006-3-9 03:05

6656

【脱文标题】：ESP定律巧脱Protection Plus 4.x壳SoftwareKey V1.3.1.0主程序
【下载地址】：http://www.softwarekey.com/downloads/TrialCreator/TrialCreatorSetup.exe
【软件大小】：5.5 M
【软件简介】：Trial Creator, Protection PLUS, and Instant SOLO provide you with a full suite of tools to demo, protect, sell and manage your software products.
【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！
【调试环境】：WinXP、Ollydbg、PEiD、LordPE、ImportREC
【学习目的】：巧用ESP定律手脱不常见壳
―――――――――――――――――――――――――――――――――
【脱壳过程】：

引用fly兄的原话：TrialCreator.exe 用PEiD看是“Protection Plus 4.x->Concept Software”，不常见，姑且脱之吧。感觉和PC Guard、

Visual Protect等壳相似，脱壳难度：易

------------------------------------------------------------------------------------
今天与fly兄脱法唯一不同的就是我们这次使用更简便的方法脱去Protection Plus 4.x的马甲！

老规矩设置Ollydbg忽略所有异常选项，并隐藏OD。

一、脱壳开始：

00602030 >  50             push eax                            ; 进入OD后停在这,F8一次
00602031 60             pushad                               ; 观察寄存器ESP值，命令栏下断：hr esp 回车，F9运行
00602032 29C0          sub eax,eax
00602034 64:FF30       push dword ptr fs:[eax]
00602037 E8 00000000    call TrialCre.0060203C
0060203C 5D             pop ebp
0060203D 83ED 3C       sub ebp,3C
00602040 89E8          mov eax,ebp
00602042 89A5 14000000 mov dword ptr ss:[ebp+14],esp
00602048 2B85 1C000000 sub eax,dword ptr ss:[ebp+1C]
0060204E 8985 1C000000 mov dword ptr ss:[ebp+1C],eax
00602054 8D85 27030000 lea eax,dword ptr ss:[ebp+327]
0060205A 50             push eax
0060205B 8B00          mov eax,dword ptr ds:[eax]
0060205D 85C0          test eax,eax
0060205F 0F85 C0000000 jnz TrialCre.00602125
00602065 8DBD 5B030000 lea edi,dword ptr ss:[ebp+35B]
0060206B 8DB5 43030000 lea esi,dword ptr ss:[ebp+343]

F9 运行，程序中断在INT3上异常处：

00CD2F15 C3             retn                                  ; F8单步一次，步入OEP
00CD2F16 CC             int3
00CD2F17 CC             int3
00CD2F18 CC             int3
00CD2F19 CC             int3
00CD2F1A CC             int3
00CD2F1B CC             int3
00CD2F1C CC             int3
00CD2F1D CC             int3
00CD2F1E CC             int3
00CD2F1F CC             int3
00CD2F20 55             push ebp
00CD2F21 89E5          mov ebp,esp
00CD2F23 9C             pushfd
00CD2F24 50             push eax
00CD2F25 53             push ebx
00CD2F26 51             push ecx
00CD2F27 52             push edx
00CD2F28 57             push edi

二、走至OEP、Dump，完成脱壳：

00464423 55             push ebp                            ; 用LordPE纠正ImageSize后完全DUMP这个进程
00464424 8BEC          mov ebp,esp
00464426 6A FF          push -1
00464428 68 18C15500    push TrialCre.0055C118
0046442D 68 2C914600    push TrialCre.0046912C
00464432 64:A1 00000000  mov eax,dword ptr fs:[0]
00464438 50             push eax
00464439 64:8925 0000000>mov dword ptr fs:[0],esp
00464440 83EC 58       sub esp,58
00464443 53             push ebx
00464444 56             push esi
00464445 57             push edi
00464446 8965 E8       mov dword ptr ss:[ebp-18],esp
00464449 FF15 20245500 call dword ptr ds:[552420]
0046444F 33D2          xor edx,edx
00464451 8AD4          mov dl,ah
00464453 8915 2CDD5900 mov dword ptr ds:[59DD2C],edx

得到dumped.exe后发现程序图标不见了，如果就这样修复输入表则程序是无法运行的，提示不是有效的程序。
用LordPE打开dumped.exe，看见最后1个区段的虚拟大小和物理大小都是0，参考原程序把其全部改为0045000

运行ImportREC，选择这个进程。把OEP改为00064423，点“IAT AutoSearch”，点“Get Import”。
FixDump，再用LordPE重建PE简单优化一下。正常运行！

--------------------------------------------------------------------------------------------------------

Copyright (C) 2006 KuNgBiM{BCG}{DFCG}{DCM}{DCT}{SLT}

--------------------------------------------------------------------------------------------------------
  UnPacked By KuNgBiM{BCG}{DFCG}{DCM}{DCT}{SLT}

            2006-03-09

            03:03:03 AM

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (16)
bbzhu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 110 粉丝 1 关注私信	bbzhu 2 楼学习 2006-3-9 04:25 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 3 楼 00602031 60 pushad ; 观察寄存器ESP值，命令栏下断：hr esp 回车，F9运行问一下，为何要关注esp值我是新手，请高手指点 2006-3-9 08:10 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 4 楼最初由 KuNgBiM 发布【脱文标题】：ESP定律巧脱Protection Plus 4.x壳SoftwareKey V1.3.1.0主程序【下载地址】：http://www.softwarekey.com/downloads/TrialCreator/TrialCreatorSetup.exe 【软件大小】：5.5 M 【软件简介】：Trial Creator, Protection PLUS, and Instant SOLO provide you with a full suite of tools to demo, protect, sell and manage your software products. 【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！ ........ 好东西，我喜欢！呵呵，感谢老K！ 2006-3-9 09:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼记得新版Protection Plus有些东西需要修复吧 2006-3-9 09:23 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 6 楼你个小p孩，才多大年纪，就跟人家fly称兄道弟的，打pp 2006-3-9 10:10 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 7 楼过程与目的同样重要，谢谢～ 2006-3-9 10:46 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 8 楼老K的脱文越来越简洁 2006-3-9 10:55 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 9 楼不行呀！这样修复根本运行不了，有好多处需要手工修复。 2006-3-9 11:31 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 10 楼不能用啊！！！ 2006-3-9 21:40 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 11 楼 IAT这样好象是加密地 2006-3-9 22:09 0
eatjpg 雪币： 198 活跃值： (416) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	eatjpg 12 楼进来学习:) 2006-3-10 19:40 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 13 楼学习中顶 2006-3-10 21:07 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 14 楼参考原程序把其全部改为00044C00 请问一下老K或其他高手，这个我在哪里看到 2006-3-15 08:31 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 15 楼在修复IAT中有很多无效的指针请高手发布一下怎么手工修复IAT 2006-3-15 08:41 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 16 楼 01361187 81E2 FF000000 AND EDX,0FF 0136118D 8D42 FF LEA EAX,DWORD PTR DS:[EDX-1] 01361190 83F8 03 CMP EAX,3 01361193 77 73 JA SHORT 01361208///ja->jmp 就可避开IAT加密。 01361195 FF2485 10123601 JMP DWORD PTR DS:[EAX*4+1361210] 0136119C 6A 06 PUSH 6 0136119E E8 4B8D0000 CALL 01369EEE 013611A3 83C4 04 ADD ESP,4 013611A6 8970 01 MOV DWORD PTR DS:[EAX+1],ESI 013611A9 8BF0 MOV ESI,EAX 013611AB C600 68 MOV BYTE PTR DS:[EAX],68 013611AE C640 05 C3 MOV BYTE PTR DS:[EAX+5],0C3 013611B2 5E POP ESI 013611B3 C2 0C00 RETN 0C 013611B6 6A 07 PUSH 7 013611B8 E8 318D0000 CALL 01369EEE 013611BD 83C4 04 ADD ESP,4 2006-3-15 09:37 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 17 楼楼上的，正解！学习了 2006-3-19 17:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KuNgBiM

500

发帖

2517

回帖

2670

RANK

关注

私信

他的文章

PrimoCache.Server.Edition.0.9.9(Beta)-Cracked 5815

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
bbzhu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 110 粉丝 1 关注私信	bbzhu 2 楼学习 2006-3-9 04:25 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 3 楼 00602031 60 pushad ; 观察寄存器ESP值，命令栏下断：hr esp 回车，F9运行问一下，为何要关注esp值我是新手，请高手指点 2006-3-9 08:10 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 4 楼最初由 KuNgBiM 发布【脱文标题】：ESP定律巧脱Protection Plus 4.x壳SoftwareKey V1.3.1.0主程序【下载地址】：http://www.softwarekey.com/downloads/TrialCreator/TrialCreatorSetup.exe 【软件大小】：5.5 M 【软件简介】：Trial Creator, Protection PLUS, and Instant SOLO provide you with a full suite of tools to demo, protect, sell and manage your software products. 【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！ ........ 好东西，我喜欢！呵呵，感谢老K！ 2006-3-9 09:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼记得新版Protection Plus有些东西需要修复吧 2006-3-9 09:23 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 6 楼你个小p孩，才多大年纪，就跟人家fly称兄道弟的，打pp 2006-3-9 10:10 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 7 楼过程与目的同样重要，谢谢～ 2006-3-9 10:46 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 8 楼老K的脱文越来越简洁 2006-3-9 10:55 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 9 楼不行呀！这样修复根本运行不了，有好多处需要手工修复。 2006-3-9 11:31 0
opxlz 雪币： 234 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	opxlz 10 楼不能用啊！！！ 2006-3-9 21:40 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 11 楼 IAT这样好象是加密地 2006-3-9 22:09 0
eatjpg 雪币： 198 活跃值： (416) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	eatjpg 12 楼进来学习:) 2006-3-10 19:40 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 13 楼学习中顶 2006-3-10 21:07 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 14 楼参考原程序把其全部改为00044C00 请问一下老K或其他高手，这个我在哪里看到 2006-3-15 08:31 0
小仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 68 粉丝 0 关注私信	小仙 15 楼在修复IAT中有很多无效的指针请高手发布一下怎么手工修复IAT 2006-3-15 08:41 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 16 楼 01361187 81E2 FF000000 AND EDX,0FF 0136118D 8D42 FF LEA EAX,DWORD PTR DS:[EDX-1] 01361190 83F8 03 CMP EAX,3 01361193 77 73 JA SHORT 01361208///ja->jmp 就可避开IAT加密。 01361195 FF2485 10123601 JMP DWORD PTR DS:[EAX*4+1361210] 0136119C 6A 06 PUSH 6 0136119E E8 4B8D0000 CALL 01369EEE 013611A3 83C4 04 ADD ESP,4 013611A6 8970 01 MOV DWORD PTR DS:[EAX+1],ESI 013611A9 8BF0 MOV ESI,EAX 013611AB C600 68 MOV BYTE PTR DS:[EAX],68 013611AE C640 05 C3 MOV BYTE PTR DS:[EAX+5],0C3 013611B2 5E POP ESI 013611B3 C2 0C00 RETN 0C 013611B6 6A 07 PUSH 7 013611B8 E8 318D0000 CALL 01369EEE 013611BD 83C4 04 ADD ESP,4 2006-3-15 09:37 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 17 楼楼上的，正解！学习了 2006-3-19 17:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复