[求助]关于yoda's Protector的脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]关于yoda's Protector的脱壳

发表于: 2006-3-26 16:00 236460

[求助]关于yoda's Protector的脱壳

swordkok

2006-3-26 16:00

236460

偶翻过论坛了,按照fly大大的脱文,设置OllyDbg忽略所有异常选项,用IsDebug插件去掉OllyDbg的调试器标志。刚跑一下就不知道飞哪里去了,接着就键盘、鼠标和任务栏就被锁了个严严实实.....其间注销N+1次.....

后来找了fly大大的yoda's Protector V1.03.1/V1.03.2 UnPacK脚本,这次程序是跑起来了,可是找不到OEP
这个壳应该是yoda's Protector V1.03.3的？
哪位脱过yoda's Protector V1.03.3的壳？
写篇教程教我脱一下这个壳,谢谢了~~~~~

完整下载地址
http://www.txwzh.com/qq.rar

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (38) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼单独运行也没跑起来哪里下载完整文件 2006-3-26 16:25 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 3 楼直接运行就把我锁死了，幸好还可以用win+R暗着操作 2006-3-26 16:28 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 4 楼不好意思，忘记还有一个dll文件没打进去了 2006-3-26 16:35 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 5 楼最初由 netsowell* 发布* 直接运行就把我锁死了，幸好还可以用win+R暗着操作直接运行有时候会锁，有时候不会，不知道怎么搞的 2006-3-26 16:36 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 6 楼最初由 fly* 发布* 单独运行也没跑起来哪里下载完整文件偶已经改了地址： http://www.txwzh.com/qq.rar 2006-3-26 17:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼你可以按照《yoda's Protector V1.03.2.02脱壳――yP.exe全过程分析》教程来操作 00420862 55 push ebp ; This is the OEP! Found By: fly //OEP 00420863 8BEC mov ebp,esp 00420865 6A FF push -1 00420867 68 C02C4400 push QQ_FOR_M.00442CC0 0042086C 68 BC5F4200 push QQ_FOR_M.00425FBC 00420871 64:A1 00000000 mov eax,dword ptr fs:[0] 00420877 50 push eax 00420878 64:8925 00000000 mov dword ptr fs:[0],esp 0042087F 83EC 58 sub esp,58 00420882 53 push ebx 00420883 56 push esi 00420884 57 push edi 00420885 8965 E8 mov dword ptr ss:[ebp-18],esp 00420888 FF15 C4F24300 call dword ptr ds:[43F2C4] ; kernel32.GetVersion 也可以在修改一下脚本： gpa "GetVersion", "KERNEL32.dll" eob GetVersion bp $RESULT esto GoOn0: esto GetVersion: cmp eip,$RESULT jne GoOn0 bc $RESULT rtu mov eax,4 mov [$RESULT], #B804000000C3# //添加这句就行了 2006-3-26 17:37 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 8 楼谢谢fly大大，我去试一下 2006-3-26 18:26 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 9 楼最初由 fly* 发布* 你可以按照《yoda's Protector V1.03.2.02脱壳――yP.exe全过程分析》教程来操作 00420862 55 push ebp ; This is the OEP! Found By: fly //OEP 00420863 8BEC mov ebp,esp ........ 我修改了脚本，运行完了还是一样 00517D34 0000 ADD BYTE PTR DS:[EAX],AL 00517D36 0000 ADD BYTE PTR DS:[EAX],AL 00517D38 0000 ADD BYTE PTR DS:[EAX],AL 就停在这里，程序运行起来了，没有显示出入口 2006-3-26 18:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼你的操作问题 2006-3-26 18:48 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 11 楼最初由 fly* 发布* 你的操作问题要怎么操作呢？我用od载入，隐藏，再载入脚本，它就开始自动跑，然后就停在那里了，麻烦大大指点一下 2006-3-26 19:01 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼运行脚本前你要删去以前的所有断点忽略所有异常选项脚本不行就去看教程脱壳吧 2006-3-26 19:38 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 13 楼最初由 fly* 发布* 运行脚本前你要删去以前的所有断点忽略所有异常选项脚本不行就去看教程脱壳吧我都是这么做的，就是找不到入口，我再看看教程吧，谢谢了 2006-3-26 19:53 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 14 楼最初由 swordkok* 发布* 我都是这么做的，就是找不到入口，我再看看教程吧，谢谢了上传的附件： dump_.rar （180.05kb，19次下载） 2006-3-26 23:30 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 15 楼最初由 liuyilin* 发布* 著著你，??你是怎麽修??入表的？我用ImportREC修?了以後哕行老是?邋，希望指?一下 2006-3-27 11:06 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 16 楼最初由 swordkok* 发布* 著著你，??你是怎麽修??入表的？我用ImportREC修?了以後哕行老是?邋，希望指?一下输入表大小重新写,IM1.6算出的是错的. 2006-3-27 11:12 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 17 楼呵呵，谢谢了我刚看过了，我dump出来的总是多一个idata2区段，你的没有，不知道怎么搞的你能不能加一下我qq，具体教我一下，谢谢了 MYQQ:25295626 2006-3-27 11:18 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 18 楼谁能详细点说下这个输入表怎么修复？我修复出来运行就是出错，55555555555555 上传的附件： 1_.rar （181.01kb，2次下载） 2006-3-27 14:02 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 19 楼最初由 swordkok* 发布* 谁能详细点说下这个输入表怎么修复？我修复出来运行就是出错，55555555555555 import1.6修复时要用跟踪1修复一些指针,然后其余的CUT 2006-3-27 14:12 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 20 楼看不懂啊不过顶一个我也在学习呢楼主去搜索一下有关于你那个壳的动画我看过嘎嘎帮不了你啊 2006-3-27 14:20 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 21 楼最初由 liuyilin* 发布* import1.6修复时要用跟踪1修复一些指针,然后其余的CUT 这个步骤我做了，还是不行是不是dump的问题？你能不能把你dump的文件传给我？我来修复一下试试 2006-3-27 14:21 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 22 楼 DUMP时要纠正文件大小 2006-3-27 14:27 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 23 楼我是这么dump的，对不对？ 2006-3-27 14:37 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 24 楼不要用这个东西DUMP 用LOADPE,并纠正文件大小 2006-3-27 14:51 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 25 楼好，我去试下，谢谢你了 2006-3-27 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

swordkok

发帖

278

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼单独运行也没跑起来哪里下载完整文件 2006-3-26 16:25 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 3 楼直接运行就把我锁死了，幸好还可以用win+R暗着操作 2006-3-26 16:28 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 4 楼不好意思，忘记还有一个dll文件没打进去了 2006-3-26 16:35 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 5 楼最初由 netsowell* 发布* 直接运行就把我锁死了，幸好还可以用win+R暗着操作直接运行有时候会锁，有时候不会，不知道怎么搞的 2006-3-26 16:36 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 6 楼最初由 fly* 发布* 单独运行也没跑起来哪里下载完整文件偶已经改了地址： http://www.txwzh.com/qq.rar 2006-3-26 17:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼你可以按照《yoda's Protector V1.03.2.02脱壳――yP.exe全过程分析》教程来操作 00420862 55 push ebp ; This is the OEP! Found By: fly //OEP 00420863 8BEC mov ebp,esp 00420865 6A FF push -1 00420867 68 C02C4400 push QQ_FOR_M.00442CC0 0042086C 68 BC5F4200 push QQ_FOR_M.00425FBC 00420871 64:A1 00000000 mov eax,dword ptr fs:[0] 00420877 50 push eax 00420878 64:8925 00000000 mov dword ptr fs:[0],esp 0042087F 83EC 58 sub esp,58 00420882 53 push ebx 00420883 56 push esi 00420884 57 push edi 00420885 8965 E8 mov dword ptr ss:[ebp-18],esp 00420888 FF15 C4F24300 call dword ptr ds:[43F2C4] ; kernel32.GetVersion 也可以在修改一下脚本： gpa "GetVersion", "KERNEL32.dll" eob GetVersion bp $RESULT esto GoOn0: esto GetVersion: cmp eip,$RESULT jne GoOn0 bc $RESULT rtu mov eax,4 mov [$RESULT], #B804000000C3# //添加这句就行了 2006-3-26 17:37 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 8 楼谢谢fly大大，我去试一下 2006-3-26 18:26 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 9 楼最初由 fly* 发布* 你可以按照《yoda's Protector V1.03.2.02脱壳――yP.exe全过程分析》教程来操作 00420862 55 push ebp ; This is the OEP! Found By: fly //OEP 00420863 8BEC mov ebp,esp ........ 我修改了脚本，运行完了还是一样 00517D34 0000 ADD BYTE PTR DS:[EAX],AL 00517D36 0000 ADD BYTE PTR DS:[EAX],AL 00517D38 0000 ADD BYTE PTR DS:[EAX],AL 就停在这里，程序运行起来了，没有显示出入口 2006-3-26 18:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼你的操作问题 2006-3-26 18:48 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 11 楼最初由 fly* 发布* 你的操作问题要怎么操作呢？我用od载入，隐藏，再载入脚本，它就开始自动跑，然后就停在那里了，麻烦大大指点一下 2006-3-26 19:01 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼运行脚本前你要删去以前的所有断点忽略所有异常选项脚本不行就去看教程脱壳吧 2006-3-26 19:38 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 13 楼最初由 fly* 发布* 运行脚本前你要删去以前的所有断点忽略所有异常选项脚本不行就去看教程脱壳吧我都是这么做的，就是找不到入口，我再看看教程吧，谢谢了 2006-3-26 19:53 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 14 楼最初由 swordkok* 发布* 我都是这么做的，就是找不到入口，我再看看教程吧，谢谢了上传的附件： dump_.rar （180.05kb，19次下载） 2006-3-26 23:30 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 15 楼最初由 liuyilin* 发布* 著著你，??你是怎麽修??入表的？我用ImportREC修?了以後哕行老是?邋，希望指?一下 2006-3-27 11:06 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 16 楼最初由 swordkok* 发布* 著著你，??你是怎麽修??入表的？我用ImportREC修?了以後哕行老是?邋，希望指?一下输入表大小重新写,IM1.6算出的是错的. 2006-3-27 11:12 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 17 楼呵呵，谢谢了我刚看过了，我dump出来的总是多一个idata2区段，你的没有，不知道怎么搞的你能不能加一下我qq，具体教我一下，谢谢了 MYQQ:25295626 2006-3-27 11:18 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 18 楼谁能详细点说下这个输入表怎么修复？我修复出来运行就是出错，55555555555555 上传的附件： 1_.rar （181.01kb，2次下载） 2006-3-27 14:02 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 19 楼最初由 swordkok* 发布* 谁能详细点说下这个输入表怎么修复？我修复出来运行就是出错，55555555555555 import1.6修复时要用跟踪1修复一些指针,然后其余的CUT 2006-3-27 14:12 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 20 楼看不懂啊不过顶一个我也在学习呢楼主去搜索一下有关于你那个壳的动画我看过嘎嘎帮不了你啊 2006-3-27 14:20 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 21 楼最初由 liuyilin* 发布* import1.6修复时要用跟踪1修复一些指针,然后其余的CUT 这个步骤我做了，还是不行是不是dump的问题？你能不能把你dump的文件传给我？我来修复一下试试 2006-3-27 14:21 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 22 楼 DUMP时要纠正文件大小 2006-3-27 14:27 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 23 楼我是这么dump的，对不对？ 2006-3-27 14:37 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 24 楼不要用这个东西DUMP 用LOADPE,并纠正文件大小 2006-3-27 14:51 0
swordkok 雪币： 280 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 278 粉丝 0 关注私信	swordkok 1 25 楼好，我去试下，谢谢你了 2006-3-27 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复