Pe123 v2006.4.4-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Pe123 v2006.4.4

发表于: 2006-4-4 15:28 9362

Pe123 v2006.4.4

netsowell

2006-4-4 15:28

9362

最近没空弄，今天重新编译了一下。放上主程序。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

pe123 v2006.4.4.rar （365.94kb，37次下载）

收藏・0

免费・0

支持

最新回复 (36) 1 2 ▶
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 2 楼沙发是这样啊? 2006-4-4 15:29 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 3 楼有速度。 2006-4-4 15:31 0
cxts 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	cxts 4 楼找个板凳座着看。 2006-4-4 15:34 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 5 楼下载试试：） 2006-4-4 15:46 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 6 楼这里好像是OEP 0046772C 55 PUSH EBP 0046772D 8BEC MOV EBP,ESP 0046772F 83C4 F0 ADD ESP,-10 00467732 B8 406C4600 MOV EAX,PE123.00466C40 00467737 E8 B0EEF9FF CALL PE123.004065EC 0046773C A1 849C4600 MOV EAX,DWORD PTR DS:[469C84] 00467741 8B00 MOV EAX,DWORD PTR DS:[EAX] 00467743 E8 0001FFFF CALL PE123.00457848 00467748 A1 849C4600 MOV EAX,DWORD PTR DS:[469C84] 0046774D 8B00 MOV EAX,DWORD PTR DS:[EAX] 输入表指针加密好像很简单的,调用输入表指针代码变形类似ASPR2 可以追到这里: 002C9FD7 8BF0 MOV ESI,EAX 002C9FD9 81F0 2B110002 XOR EAX,200112B 002C9FDF 50 PUSH EAX 002C9FE0 54 PUSH ESP 002C9FE1 53 PUSH EBX 002C9FE2 FFD2 CALL EDX //这里是调用原输入表指针 002C9FE4 81C4 0C000000 ADD ESP,0C 002C9FEA E8 00000000 CALL 002C9FEF 002C9FEF 5F POP EDI 002C9FF0 81EF 14000000 SUB EDI,14 002C9FF6 33F0 XOR ESI,EAX 002C9FF8 8937 MOV DWORD PTR DS:[EDI],ESI 时间有限,只能分析到这里了. 2006-4-4 16:53 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 7 楼最初由 linex* 发布* 这里好像是OEP 0046772C 55 PUSH EBP 0046772D 8BEC MOV EBP,ESP 0046772F 83C4 F0 ADD ESP,-10 ........ OEP很好找的，iat想完全恢复如果怕累，最好写脚本。 2006-4-4 16:58 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 8 楼 Access violation at address 00401B47 in module 'PE123.exe'. Read of address 80000000. 2006-4-4 17:05 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 9 楼最初由 RegKiller* 发布* Access violation at address 00401B47 in module 'PE123.exe'. Read of address 80000000. 我知道这个bug. 下个版本改正，加密大多数程序没有这个问题的。这个问题是在销毁原本的iat时一点小失误。 2006-4-4 17:58 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 10 楼你这个叫啥名字还是取个名字把 2006-4-4 18:29 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 11 楼最初由 qq7119* 发布* 你这个叫啥名字还是取个名字把这些年，好听名字都被用得差不多了。 2006-4-4 18:40 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 12 楼收藏 2006-4-4 19:00 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 13 楼 netsowell终于放出主程序了，收藏。;) 2006-4-4 19:12 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 14 楼 bp GetProcAddress 中断6次，堆栈显示 0012FE24 0040144F /CALL to GetProcAddress from PE123.0040144C 0012FE28 77E40000 \|hModule = 77E40000 (kernel32) 0012FE2C 0012FE30 \ProcNameOrOrdinal = "VirtualProtect" 返回，再单步几下就到OEP IAT修复就麻烦了感觉和hying有那么一点点相似楼主可否指点下IAT修复` 2006-4-4 19:51 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 15 楼支持，不过加壳后程序图标没了~ 2006-4-4 20:20 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 16 楼下载下载... 2006-4-4 21:44 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 17 楼最初由 wynney* 发布* bp GetProcAddress 中断6次，堆栈显示 0012FE24 0040144F /CALL to GetProcAddress from PE123.0040144C 0012FE28 77E40000 \|hModule = 77E40000 (kernel32) 0012FE2C 0012FE30 \ProcNameOrOrdinal = "VirtualProtect" ........ 自己写个脚本尽量的恢复多的API,几个代理的很好找，SDK可以使用目录下的pe123sdk.dll函数代替，其实很简单，现在只有3个。 2006-4-4 22:18 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 18 楼最初由 prince* 发布* 支持，不过加壳后程序图标没了~ 资源还没有处理，重组函数写了一半。 2006-4-4 22:19 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 19 楼 dgsdfdsf 上传的附件： 1_.rar （507.06kb，9次下载） 2006-4-4 22:25 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 20 楼最初由堀北真希* 发布* dgsdfdsf SDK修复失误了一点点，加密有SDK的会失败。 2006-4-4 22:33 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 21 楼最初由 netsowell* 发布* SDK修复失误了一点点，加密有SDK的会失败。没仔细看,你那东西还不稳定加了3个只成功1个 2006-4-4 22:35 0
大师兄雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 90 粉丝 0 关注私信	大师兄 22 楼代码还得改改 2006-4-4 22:36 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 23 楼还是大师兄的壳最强完全不懂的 2006-4-4 22:38 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 24 楼最初由堀北真希* 发布* 没仔细看,你那东西还不稳定加了3个只成功1个清除原来IAT的时候有问题。 2006-4-4 22:38 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 25 楼最初由大师兄* 发布* 代码还得改改我晕，现在的杀毒软件真是老大，我从来不用杀毒软件的，所以没有测试过。 2006-4-4 22:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

netsowell

发帖

554

回帖

450

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 2 楼沙发是这样啊? 2006-4-4 15:29 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 3 楼有速度。 2006-4-4 15:31 0
cxts 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	cxts 4 楼找个板凳座着看。 2006-4-4 15:34 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 5 楼下载试试：） 2006-4-4 15:46 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 6 楼这里好像是OEP 0046772C 55 PUSH EBP 0046772D 8BEC MOV EBP,ESP 0046772F 83C4 F0 ADD ESP,-10 00467732 B8 406C4600 MOV EAX,PE123.00466C40 00467737 E8 B0EEF9FF CALL PE123.004065EC 0046773C A1 849C4600 MOV EAX,DWORD PTR DS:[469C84] 00467741 8B00 MOV EAX,DWORD PTR DS:[EAX] 00467743 E8 0001FFFF CALL PE123.00457848 00467748 A1 849C4600 MOV EAX,DWORD PTR DS:[469C84] 0046774D 8B00 MOV EAX,DWORD PTR DS:[EAX] 输入表指针加密好像很简单的,调用输入表指针代码变形类似ASPR2 可以追到这里: 002C9FD7 8BF0 MOV ESI,EAX 002C9FD9 81F0 2B110002 XOR EAX,200112B 002C9FDF 50 PUSH EAX 002C9FE0 54 PUSH ESP 002C9FE1 53 PUSH EBX 002C9FE2 FFD2 CALL EDX //这里是调用原输入表指针 002C9FE4 81C4 0C000000 ADD ESP,0C 002C9FEA E8 00000000 CALL 002C9FEF 002C9FEF 5F POP EDI 002C9FF0 81EF 14000000 SUB EDI,14 002C9FF6 33F0 XOR ESI,EAX 002C9FF8 8937 MOV DWORD PTR DS:[EDI],ESI 时间有限,只能分析到这里了. 2006-4-4 16:53 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 7 楼最初由 linex* 发布* 这里好像是OEP 0046772C 55 PUSH EBP 0046772D 8BEC MOV EBP,ESP 0046772F 83C4 F0 ADD ESP,-10 ........ OEP很好找的，iat想完全恢复如果怕累，最好写脚本。 2006-4-4 16:58 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 8 楼 Access violation at address 00401B47 in module 'PE123.exe'. Read of address 80000000. 2006-4-4 17:05 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 9 楼最初由 RegKiller* 发布* Access violation at address 00401B47 in module 'PE123.exe'. Read of address 80000000. 我知道这个bug. 下个版本改正，加密大多数程序没有这个问题的。这个问题是在销毁原本的iat时一点小失误。 2006-4-4 17:58 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 10 楼你这个叫啥名字还是取个名字把 2006-4-4 18:29 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 11 楼最初由 qq7119* 发布* 你这个叫啥名字还是取个名字把这些年，好听名字都被用得差不多了。 2006-4-4 18:40 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 12 楼收藏 2006-4-4 19:00 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 13 楼 netsowell终于放出主程序了，收藏。;) 2006-4-4 19:12 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 14 楼 bp GetProcAddress 中断6次，堆栈显示 0012FE24 0040144F /CALL to GetProcAddress from PE123.0040144C 0012FE28 77E40000 \|hModule = 77E40000 (kernel32) 0012FE2C 0012FE30 \ProcNameOrOrdinal = "VirtualProtect" 返回，再单步几下就到OEP IAT修复就麻烦了感觉和hying有那么一点点相似楼主可否指点下IAT修复` 2006-4-4 19:51 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 15 楼支持，不过加壳后程序图标没了~ 2006-4-4 20:20 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 16 楼下载下载... 2006-4-4 21:44 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 17 楼最初由 wynney* 发布* bp GetProcAddress 中断6次，堆栈显示 0012FE24 0040144F /CALL to GetProcAddress from PE123.0040144C 0012FE28 77E40000 \|hModule = 77E40000 (kernel32) 0012FE2C 0012FE30 \ProcNameOrOrdinal = "VirtualProtect" ........ 自己写个脚本尽量的恢复多的API,几个代理的很好找，SDK可以使用目录下的pe123sdk.dll函数代替，其实很简单，现在只有3个。 2006-4-4 22:18 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 18 楼最初由 prince* 发布* 支持，不过加壳后程序图标没了~ 资源还没有处理，重组函数写了一半。 2006-4-4 22:19 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 19 楼 dgsdfdsf 上传的附件： 1_.rar （507.06kb，9次下载） 2006-4-4 22:25 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 20 楼最初由堀北真希* 发布* dgsdfdsf SDK修复失误了一点点，加密有SDK的会失败。 2006-4-4 22:33 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 21 楼最初由 netsowell* 发布* SDK修复失误了一点点，加密有SDK的会失败。没仔细看,你那东西还不稳定加了3个只成功1个 2006-4-4 22:35 0
大师兄雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 90 粉丝 0 关注私信	大师兄 22 楼代码还得改改 2006-4-4 22:36 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 23 楼还是大师兄的壳最强完全不懂的 2006-4-4 22:38 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 24 楼最初由堀北真希* 发布* 没仔细看,你那东西还不稳定加了3个只成功1个清除原来IAT的时候有问题。 2006-4-4 22:38 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 25 楼最初由大师兄* 发布* 代码还得改改我晕，现在的杀毒软件真是老大，我从来不用杀毒软件的，所以没有测试过。 2006-4-4 22:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复