首页
社区
课程
招聘
EXECryptor2.3.9主程序脱壳[分享]
发表于: 2006-5-15 09:51 15285

EXECryptor2.3.9主程序脱壳[分享]

2006-5-15 09:51
15285

一、破解目标:EXECryptor2.3.9主程序

二、破解工具:OllyDbg v1.10,ImportREC 1.6 Final,LordPE

三、破解作者:DarkBull#126.com

四、破解过程:

1.寻找OEP

首先设置OD停在系统断点,隐藏OD,忽略所有异常,运行以下脚本:

data:
    var hInstance
    var codeseg
    var vmseg
    var ep
    var oep
    var temp
code:
    gpa "VirtualFree","kernel32.dll"
    bphws $RESULT,"x"
    run
    bphwc $RESULT
    rtu
    gmi eip,MODULEBASE
    mov hInstance,$RESULT
    mov temp,$RESULT
    add temp,3c
    mov temp,[temp]
    add temp,hInstance
    add temp,28
    mov temp,[temp]
    add temp,hInstance
    bc temp
    mov ep,temp
    gmemi eip,MEMORYBASE
    mov codeseg,$RESULT
    find $RESULT,#2ECC9D#
    mov [$RESULT],#2ECC90#
    gpa "EnumWindows","user32.dll"
    mov [$RESULT],#8BC09C85C09D0578563412C20800#
    gpa "CreateThread","kernel32.dll"
    find $RESULT,#FF7518#
    mov [$RESULT],#6A0490#
    gpa "ZwCreateThread","ntdll.dll"
    bp $RESULT
loop1:
    run
    cmp eip,$RESULT
    jne loop1
    bc $RESULT
    bp ep
loop2:
    run
    cmp eip,ep
    jne loop2
    bc ep
    mov temp,codeseg
    sub temp,1
    gmemi temp,MEMORYBASE
    mov vmseg,$RESULT
    gmemi temp,MEMORYSIZE
    bprm vmseg,$RESULT
    run
    bpmc
    mov oep,eax
    sti
    bprm oep,1
loop3:
    run
    cmp eip,oep
    jne loop3
    bpmc
    ret

2.修复IAT

通过观察,可以确定IAT的起始地址为:004DD168,结束地址为:004DD988。IAT修复脚本如下:
data:
    var base
    var size
    var iats
    var iate
    var fun
    var cnt
code:
    gmi eip,MODULEBASE
    mov base,$RESULT
    gmi eip,MODULESIZE
    mov size,$RESULT
    add size,base
    mov iats,4DD168        
    mov iate,4DD988
    exec
    push 004d70f0
    push 004d70a0
    push 004d7050
    push 004d7000
    ende
loop1:
    mov fun,[iats]
    cmp fun,base
    jb next
    cmp fun,size
    ja next
    mov eip,fun
    mov esp,0012ffb4
    bphws iats,"w"
    run
    gn [iats]
    cmp $RESULT,0
    je pause1
    bphwc iats
    inc cnt
    jmp next
pause1:
    pause                                                    ; 手动修复
    bphwc iats
next:
    add iats,4
    cmp iats,iate
    ja end
    jmp loop1
end:
    eval "Already Found {cnt} Function!"
    msg $RESULT
    ret

3.跨平台
清除已初始化的数据,修复方法基本同EXECr2.2.6,大概修复40多处。
以上脚本及脱壳程序在WINXP和WIN2003下测试通过。

                                                                2006.05.14


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (40)
雪    币: 329
活跃值: (411)
能力值: ( LV9,RANK:730 )
在线值:
发帖
回帖
粉丝
2
上传的附件:
2006-5-15 09:54
0
雪    币: 224
活跃值: (75)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
强啊!学习不了,先收藏。
2006-5-15 09:55
0
雪    币: 329
活跃值: (411)
能力值: ( LV9,RANK:730 )
在线值:
发帖
回帖
粉丝
4
上传的附件:
2006-5-15 09:56
0
雪    币: 279
活跃值: (145)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
5
支持!
2006-5-15 09:58
0
雪    币: 236
活跃值: (35)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
支持!拿来用就是了 方便
2006-5-15 10:14
0
雪    币: 50161
活跃值: (20670)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
7
先置顶再学习

DarkBull能否谈谈自检验是如何去除的
2006-5-15 10:29
0
雪    币: 224
活跃值: (75)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
有些功能不可以用。
2006-5-15 10:34
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
学习学习!
2006-5-15 10:53
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
10
太简洁了
秀一下
2006-5-15 11:22
0
雪    币: 440
活跃值: (832)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
11
崇拜,顶一个。
2006-5-15 12:45
0
雪    币: 214
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
不错

有破解注册版就好了
2006-5-15 12:52
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
下载学习
2006-5-15 13:06
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
14
OllyDBD 原版?
2006-5-15 13:09
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
15
支持一个
2006-5-15 13:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
下载学习
2006-5-15 14:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
扒了Demo的皮,注册部分的功能好像不能用了。
以前unpack.cn上的那个破解版,非注册用户可以用Demo的功能,注册用户可以用所有的功能。这个好像注册用户也不能用Anti-Debug等注册版的功能。
还是要顶一下,牛人。
2006-5-15 15:53
0
雪    币: 690
活跃值: (1841)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
18
这是一个出牛人的年代
2006-5-15 17:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
顶了,顶了,顶了
2006-5-15 18:24
0
雪    币: 206
活跃值: (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
请问一下,我已经脱壳某版本的成功。可以在本机运行。到别的电脑上不能运行。

请问一下那些初始化部分如何修复。如何找出来的。谢谢。
2006-5-15 20:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
太谢谢了`

又可以学习了`
2006-5-16 00:39
0
雪    币: 201
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
EXECryptor 顶
向前辈学习
2006-5-16 23:13
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
谢谢楼主分享,努力学习!!!
2006-5-19 17:11
0
雪    币: 198
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
注册模块的确不能用了!
这样就没什么意义了~
2006-5-19 21:59
0
雪    币: 198
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
壳是脱了,可以运行,但是没有破解注册,加密的东西还是有提示。
我还以为是破解版呢~
2006-5-19 22:00
0
游客
登录 | 注册 方可回帖
返回
//