EXECryptor2.3.9主程序脱壳[分享]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

EXECryptor2.3.9主程序脱壳[分享]

发表于: 2006-5-15 09:51 15262

EXECryptor2.3.9主程序脱壳[分享]

DarkBull

2006-5-15 09:51

15262

一、破解目标：EXECryptor2.3.9主程序

二、破解工具：OllyDbg v1.10，ImportREC 1.6 Final，LordPE

三、破解作者：DarkBull#126.com

四、破解过程：

1.寻找OEP

首先设置OD停在系统断点，隐藏OD，忽略所有异常，运行以下脚本：

data:
var hInstance
var codeseg
var vmseg
var ep
var oep
var temp
code:
gpa "VirtualFree","kernel32.dll"
bphws $RESULT,"x"
run
bphwc $RESULT
rtu
gmi eip,MODULEBASE
mov hInstance,$RESULT
mov temp,$RESULT
add temp,3c
mov temp,[temp]
add temp,hInstance
add temp,28
mov temp,[temp]
add temp,hInstance
bc temp
mov ep,temp
gmemi eip,MEMORYBASE
mov codeseg,$RESULT
find $RESULT,#2ECC9D#
mov [$RESULT],#2ECC90#
gpa "EnumWindows","user32.dll"
mov [$RESULT],#8BC09C85C09D0578563412C20800#
gpa "CreateThread","kernel32.dll"
find $RESULT,#FF7518#
mov [$RESULT],#6A0490#
gpa "ZwCreateThread","ntdll.dll"
bp $RESULT
loop1:
run
cmp eip,$RESULT
jne loop1
bc $RESULT
bp ep
loop2:
run
cmp eip,ep
jne loop2
bc ep
mov temp,codeseg
sub temp,1
gmemi temp,MEMORYBASE
mov vmseg,$RESULT
gmemi temp,MEMORYSIZE
bprm vmseg,$RESULT
run
bpmc
mov oep,eax
sti
bprm oep,1
loop3:
run
cmp eip,oep
jne loop3
bpmc
ret

2.修复IAT

通过观察，可以确定IAT的起始地址为：004DD168，结束地址为：004DD988。IAT修复脚本如下：
data:
var base
var size
var iats
var iate
var fun
var cnt
code:
gmi eip,MODULEBASE
mov base,$RESULT
gmi eip,MODULESIZE
mov size,$RESULT
add size,base
mov iats,4DD168
mov iate,4DD988
exec
push 004d70f0
push 004d70a0
push 004d7050
push 004d7000
ende
loop1:
mov fun,[iats]
cmp fun,base
jb next
cmp fun,size
ja next
mov eip,fun
mov esp,0012ffb4
bphws iats,"w"
run
gn [iats]
cmp $RESULT,0
je pause1
bphwc iats
inc cnt
jmp next
pause1:
pause ; 手动修复
bphwc iats
next:
add iats,4
cmp iats,iate
ja end
jmp loop1
end:
eval "Already Found {cnt} Function!"
msg $RESULT
ret

3.跨平台
清除已初始化的数据，修复方法基本同EXECr2.2.6，大概修复40多处。
以上脚本及脱壳程序在WINXP和WIN2003下测试通过。

2006.05.14

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

execryptor_unpacked.part1.rar （0.98MB，95次下载）

收藏・2

免费・7

支持

最新回复 (40) 1 2 ▶
DarkBull 雪币： 329 活跃值： (411) 能力值： ( LV9，RANK：730 ) 在线值：发帖 22 回帖 36 粉丝 2 关注私信	DarkBull 18 2 楼上传的附件： execryptor_unpacked.part2.rar （0.98MB，70次下载） 2006-5-15 09:54 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 3 楼强啊！学习不了，先收藏。 2006-5-15 09:55 0
DarkBull 雪币： 329 活跃值： (411) 能力值： ( LV9，RANK：730 ) 在线值：发帖 22 回帖 36 粉丝 2 关注私信	DarkBull 18 4 楼上传的附件： execryptor_unpacked.part3.rar （619.62kb，64次下载） 2006-5-15 09:56 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 5 楼支持! 2006-5-15 09:58 0
误入楼台雪币： 236 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 200 粉丝 0 关注私信	误入楼台 1 6 楼支持！拿来用就是了方便 2006-5-15 10:14 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼先置顶再学习 DarkBull能否谈谈自检验是如何去除的 2006-5-15 10:29 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 8 楼有些功能不可以用。 2006-5-15 10:34 0
chinaow 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	chinaow 9 楼学习学习！ 2006-5-15 10:53 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 10 楼太简洁了秀一下 2006-5-15 11:22 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 11 楼崇拜，顶一个。 2006-5-15 12:45 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 12 楼不错有破解注册版就好了 2006-5-15 12:52 0
ABCdiyPE 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	ABCdiyPE 13 楼下载学习 2006-5-15 13:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼 OllyDBD 原版？ 2006-5-15 13:09 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 15 楼支持一个 2006-5-15 13:16 0
sweatwindy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sweatwindy 16 楼下载学习 2006-5-15 14:55 0
voletech 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 0 关注私信	voletech 17 楼扒了Demo的皮，注册部分的功能好像不能用了。以前unpack.cn上的那个破解版，非注册用户可以用Demo的功能，注册用户可以用所有的功能。这个好像注册用户也不能用Anti-Debug等注册版的功能。还是要顶一下，牛人。 2006-5-15 15:53 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 18 楼这是一个出牛人的年代 2006-5-15 17:55 0
和和雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	和和 19 楼顶了，顶了，顶了 2006-5-15 18:24 0
lllaaa 雪币： 206 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 1 关注私信	lllaaa 20 楼请问一下，我已经脱壳某版本的成功。可以在本机运行。到别的电脑上不能运行。请问一下那些初始化部分如何修复。如何找出来的。谢谢。 2006-5-15 20:01 0
ddvlan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	ddvlan 21 楼太谢谢了` 又可以学习了` 2006-5-16 00:39 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 22 楼 EXECryptor 顶向前辈学习 2006-5-16 23:13 0
scmeec 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	scmeec 23 楼谢谢楼主分享，努力学习！！！ 2006-5-19 17:11 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 24 楼注册模块的确不能用了！这样就没什么意义了～ 2006-5-19 21:59 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 25 楼壳是脱了，可以运行，但是没有破解注册，加密的东西还是有提示。我还以为是破解版呢～ 2006-5-19 22:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

DarkBull

发帖

回帖

730

RANK

关注

私信

他的文章

[分享]EncryptPE V2.2008.6.18 主程序学习笔记 16047
[分享]PEP2.55学习笔记 8794
[分享]VMP1.20的Opcode识别脚本 13947
[分享]EncryptPE V2.2007.4.11学习笔记 41288
[分享]PE-Armor 0.765 主程序脱壳 10598

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
DarkBull 雪币： 329 活跃值： (411) 能力值： ( LV9，RANK：730 ) 在线值：发帖 22 回帖 36 粉丝 2 关注私信	DarkBull 18 2 楼上传的附件： execryptor_unpacked.part2.rar （0.98MB，70次下载） 2006-5-15 09:54 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 3 楼强啊！学习不了，先收藏。 2006-5-15 09:55 0
DarkBull 雪币： 329 活跃值： (411) 能力值： ( LV9，RANK：730 ) 在线值：发帖 22 回帖 36 粉丝 2 关注私信	DarkBull 18 4 楼上传的附件： execryptor_unpacked.part3.rar （619.62kb，64次下载） 2006-5-15 09:56 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 5 楼支持! 2006-5-15 09:58 0
误入楼台雪币： 236 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 24 回帖 200 粉丝 0 关注私信	误入楼台 1 6 楼支持！拿来用就是了方便 2006-5-15 10:14 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼先置顶再学习 DarkBull能否谈谈自检验是如何去除的 2006-5-15 10:29 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 8 楼有些功能不可以用。 2006-5-15 10:34 0
chinaow 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	chinaow 9 楼学习学习！ 2006-5-15 10:53 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 10 楼太简洁了秀一下 2006-5-15 11:22 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 11 楼崇拜，顶一个。 2006-5-15 12:45 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 12 楼不错有破解注册版就好了 2006-5-15 12:52 0
ABCdiyPE 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	ABCdiyPE 13 楼下载学习 2006-5-15 13:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼 OllyDBD 原版？ 2006-5-15 13:09 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 15 楼支持一个 2006-5-15 13:16 0
sweatwindy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	sweatwindy 16 楼下载学习 2006-5-15 14:55 0
voletech 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 0 关注私信	voletech 17 楼扒了Demo的皮，注册部分的功能好像不能用了。以前unpack.cn上的那个破解版，非注册用户可以用Demo的功能，注册用户可以用所有的功能。这个好像注册用户也不能用Anti-Debug等注册版的功能。还是要顶一下，牛人。 2006-5-15 15:53 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 18 楼这是一个出牛人的年代 2006-5-15 17:55 0
和和雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	和和 19 楼顶了，顶了，顶了 2006-5-15 18:24 0
lllaaa 雪币： 206 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 1 关注私信	lllaaa 20 楼请问一下，我已经脱壳某版本的成功。可以在本机运行。到别的电脑上不能运行。请问一下那些初始化部分如何修复。如何找出来的。谢谢。 2006-5-15 20:01 0
ddvlan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	ddvlan 21 楼太谢谢了` 又可以学习了` 2006-5-16 00:39 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 22 楼 EXECryptor 顶向前辈学习 2006-5-16 23:13 0
scmeec 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	scmeec 23 楼谢谢楼主分享，努力学习！！！ 2006-5-19 17:11 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 24 楼注册模块的确不能用了！这样就没什么意义了～ 2006-5-19 21:59 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 25 楼壳是脱了，可以运行，但是没有破解注册，加密的东西还是有提示。我还以为是破解版呢～ 2006-5-19 22:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复