[求助]利用SHE链和esp平衡原理脱壳PECompact2.x 都失效?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]利用SHE链和esp平衡原理脱壳PECompact2.x 都失效?

发表于: 2006-5-28 01:58 6377

[求助]利用SHE链和esp平衡原理脱壳PECompact2.x 都失效?

condor

2006-5-28 01:58

6377

【破文作者】condor
【使用工具】od lordPE importREC
【操作系统】Windows XP
【下载地址】http://www.onlinedown.net/soft/37369.htm
--------------------------------------------------------------------------------
【破解声明】初次写脱文，大家多多关照！本文只限于脱壳，不涉及破解。当然还希望能够得到作者的谅解。
【软件名称】Windows木马清道夫 8.9 上网必备版
【保护方式】PECompact 2.x -> Jeremy Collake
--------------------------------------------------------------------------------
1、去掉所有异常忽略，保留kernel32里的内存读写异常忽略
2、F9,run
3、遇到写[00000000]内存异常，暂停
4、查看SEH 链,获得第一个SE Handle,Ctrl+G,来到此地址
5、向下找jmp eax,记住此地址
6、ollydbg重新载入,下硬件执行断点: he 第5步的地址,F9,中断
7、F8 发现"jmp 到 MSVBVM60.ThunRTMain" 得到oep :004013A4
8、dump,imprec fix iat 运行dumped_.exe 弹出一个对话框,标题和内容都是"error"

具体如下:
0040139E    24             db    24                            ;  CHAR '$'
0040139F    11             db    11
004013A0    40             db    40                            ;  CHAR '@'
004013A1    00             db    00
004013A2    00             db    00
004013A3    00             db    00
004013A4 > $  68 E0194500    push 004519E0                      ;  ASCII "VB5!6&vb6chs.dll"
004013A9 .  E8 EEFFFFFF    call 0040139C                      ;  jmp 到 MSVBVM60.ThunRTMain
004013AE ?  0000          add    [eax], al
004013B0 ?  50             push eax
004013B1 .  0000          add    [eax], al
004013B3 ?  0030          add    [eax], dh
004013B5 ?  0000          add    [eax], al
004013B7 ?  0048 00       add    [eax], cl
004013BA .  0000          add    [eax], al
004013BC .  0000          add    [eax], al
004013BE .  0000          add    [eax], al
004013C0 .  5B             pop    ebx
004013C1 .  023D FB8303FC add    bh, [FC0383FB]

imprec 日志:
Analysing process...
Module loaded: c:\windows\system32\ntdll.dll
Module loaded: c:\windows\system32\kernel32.dll
Module loaded: c:\windows\system32\oleaut32.dll
Module loaded: c:\windows\system32\msvcrt.dll
Module loaded: c:\windows\system32\user32.dll
Module loaded: c:\windows\system32\gdi32.dll
Module loaded: c:\windows\system32\advapi32.dll
Module loaded: c:\windows\system32\rpcrt4.dll
Module loaded: c:\windows\system32\ole32.dll
Module loaded: d:\program files\ftc\msvbvm60.dll
Module loaded: c:\windows\system32\imm32.dll
Module loaded: c:\windows\system32\lpk.dll
Module loaded: c:\windows\system32\usp10.dll
Getting associated modules done.
Image Base:00400000 Size:0037A000
Original IAT RVA found at: 00001124 in Section RVA: 00001000 Size:00372000
IAT read successfully.
---------------------------------------------------------------------------------------------------------------------------
Current imports:
4 (decimal:4) valid module(s) (added: +4 (decimal:+4))
5B (decimal:91) imported function(s). (added: +5B (decimal:+91))
---------------------------------------------------------------------------------------------------------------------------
Fixing a dumped file...
4 (decimal:4) module(s)
5B (decimal:91) imported function(s).
*** New section added successfully. RVA:0037A000 SIZE:00001000
Image Import Descriptor size: 50; Total length: 6A8
D:\Program Files\ftc\dumped_.exe saved successfully.

那个步骤错了,与系统有关(我用的是xp  sp2),还是程序有自校验?望前辈们指点.

补充:发现用esp平衡原理也得到同一个OEP,详细过程同:
http://www.stuhack.com/viewarticle.php?id=626

但fix dump完的程序还是弹出一个对话框,标题和内容都是"error"

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・1

免费・0

支持

最新回复 (11)
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 2 楼后来用 http://www.pediy.com/tools/unpack/PECompact/unpecompact2_02.rar 脱壳成功,但是运行还是和手工脱的一样的错误. 看来程序的确有自检什么的,那位高手能给指导下遇到脱壳完这样运行错误怎么处理. 2006-5-28 12:50 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 3 楼 peid 检测已经没有壳了. 2006-5-28 12:52 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 4 楼最初由 condor* 发布* 后来用 http://www.pediy.com/tools/unpack/PECompact/unpecompact2_02.rar 脱壳成功,但是运行还是和手工脱的一样的错误. 看来程序的确有自检什么的,那位高手能给指导下遇到脱壳完这样运行错误 ........ 自校验，你就以这个出错的对话框为切入点分析，与加壳的原程序对比一下流程。看看这帖也许有启发：http://bbs.pediy.com//showthread.php?s=&threadid=26222 2006-5-28 14:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼大小校验 P-Code麻烦 2006-5-28 15:11 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼去00717166处把0010D8FD修改为比脱壳后文件Size大的值如1110D8FD即可但是不必太大，<80000000 2006-5-28 17:06 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 7 楼学习! 好快的刀 2006-5-28 21:12 0
caterpilla 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	caterpilla 1 8 楼 FLY好牛。。。。。。。。。。 2006-5-28 21:39 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 9 楼呵呵 ,抽空上来看看,发现偶的第一个壳已经解决,真高兴,晚上再研究,多谢各位:) 2006-5-29 10:14 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 10 楼对于P-Code是第一次遇到,找了几篇文章和新手分享下:) »VB P-code ―― 最后的战役 http://cyclotron.yculblog.com/post.498561.html » VB P-code ―― 伪代码的奥秘 http://cyclotron.yculblog.com/post.498553.html » VB P-code ―― 调试器的革命 http://cyclotron.yculblog.com/post.498537.html » VB P-code ―― 虚拟机的艺术 http://cyclotron.yculblog.com/post.303478.html 2006-5-30 13:28 0
higherlin 雪币： 197 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	higherlin 11 楼静眼以待，没办法，才入门。 2006-5-30 22:07 0
scmeec 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	scmeec 12 楼谢谢10楼的兄弟提供的文章链接，好文章啊！ 2006-5-31 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

condor

发帖

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 2 楼后来用 http://www.pediy.com/tools/unpack/PECompact/unpecompact2_02.rar 脱壳成功,但是运行还是和手工脱的一样的错误. 看来程序的确有自检什么的,那位高手能给指导下遇到脱壳完这样运行错误怎么处理. 2006-5-28 12:50 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 3 楼 peid 检测已经没有壳了. 2006-5-28 12:52 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 4 楼最初由 condor* 发布* 后来用 http://www.pediy.com/tools/unpack/PECompact/unpecompact2_02.rar 脱壳成功,但是运行还是和手工脱的一样的错误. 看来程序的确有自检什么的,那位高手能给指导下遇到脱壳完这样运行错误 ........ 自校验，你就以这个出错的对话框为切入点分析，与加壳的原程序对比一下流程。看看这帖也许有启发：http://bbs.pediy.com//showthread.php?s=&threadid=26222 2006-5-28 14:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼大小校验 P-Code麻烦 2006-5-28 15:11 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼去00717166处把0010D8FD修改为比脱壳后文件Size大的值如1110D8FD即可但是不必太大，<80000000 2006-5-28 17:06 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 7 楼学习! 好快的刀 2006-5-28 21:12 0
caterpilla 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	caterpilla 1 8 楼 FLY好牛。。。。。。。。。。 2006-5-28 21:39 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 9 楼呵呵 ,抽空上来看看,发现偶的第一个壳已经解决,真高兴,晚上再研究,多谢各位:) 2006-5-29 10:14 0
condor 雪币： 242 活跃值： (10) 能力值： ( LV12，RANK：250 ) 在线值：发帖 9 回帖 39 粉丝 2 关注私信	condor 6 10 楼对于P-Code是第一次遇到,找了几篇文章和新手分享下:) »VB P-code ―― 最后的战役 http://cyclotron.yculblog.com/post.498561.html » VB P-code ―― 伪代码的奥秘 http://cyclotron.yculblog.com/post.498553.html » VB P-code ―― 调试器的革命 http://cyclotron.yculblog.com/post.498537.html » VB P-code ―― 虚拟机的艺术 http://cyclotron.yculblog.com/post.303478.html 2006-5-30 13:28 0
higherlin 雪币： 197 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	higherlin 11 楼静眼以待，没办法，才入门。 2006-5-30 22:07 0
scmeec 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	scmeec 12 楼谢谢10楼的兄弟提供的文章链接，好文章啊！ 2006-5-31 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复