首页
社区
课程
招聘
未解决 [求助]SafeNet 超级狗脱壳 300.00雪花
发表于: 2024-5-7 17:41 2861

未解决 [求助]SafeNet 超级狗脱壳 300.00雪花

2024-5-7 17:41
2861

学习SafeNet超级狗脱壳,有软狗。在网上学习了相关文章,但还是不会。得到的IAT表,OEP好像都不对,求高手指点。
10115600 8B4D 08 mov ecx,dword ptr ss:[ebp+0x8]
10115603 2BC8 sub ecx,eax
10115605 3BF1 cmp esi,ecx ; test1.<ModuleEntryPoint>
10115607 ^ 0F82 21FEFFFF jb test1.1011542E
1011560D 5F pop edi ; kernel32.7738FCC9
1011560E 5B pop ebx ; kernel32.7738FCC9
1011560F 8B45 F8 mov eax,dword ptr ss:[ebp-0x8]
10115612 5E pop esi ; kernel32.7738FCC9
10115613 C9 leave
10115614 C2 0400 retn 0x4 断点
10115617 3e:e9 a81136f0 jmp 004767c5 OEP ???

IAT表需要修复吗?
00477024 00000000
00477028 7738E2B0 jmp 到 KernelBa.GetLastError
0047702C 10119DD5 test1.10119DD5 <=== ???
00477030 00000000
00477034 00000000
00477038 773919A2 kernel32.773919A2
0047703C 10119457 test1.10119457
00477040 77388C32 kernel32.77388C32
00477044 773A2F60 jmp 到 KernelBa.DebugBreak
00477048 77390D82 kernel32.77390D82

地址:004767C5 这个OEP感觉不对呢,是有偷码?
004767C5 0300 add eax,dword ptr ds:[eax]
004767C7 2BC9 sub ecx,ecx ; test1.10116000
004767C9 B5 10 mov ch,0x10
004767CB 85C1 test ecx,eax ; test1.10122E33
004767CD 75 04 jnz short test1.004767D3
004767CF D1E1 shl ecx,1
004767D1 ^ 75 F8 jnz short test1.004767CB
004767D3 2BC1 sub eax,ecx ; test1.10116000
004767D5 59 pop ecx ; test1.004767F7
004767D6 5A pop edx ; test1.004767F7
004767D7 50 push eax ; test1.10122E33
004767D8 E8 01000000 call test1.004767DE


[注意]APP应用上架合规检测服务,协助应用顺利上架!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 3
活跃值: (2819)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
00464E80    55              push ebp    // 这才是OEP

iat 肯定是需要修复的,可以手动一个个修复。
2024-5-9 02:02
0
雪    币: 221
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
找到了这个OEP,是标准的C++头,里面 GetVersion,GetCommandLineA 被改了,功力不够,修复不了
2024-5-9 21:20
0
雪    币: 221
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4

test2 也是类似的

00433860    55              push ebp                                 ; OEP

00433861    8BEC            mov ebp,esp
00433863    6A FF           push -0x1
00433865    68 C8434500     push test2.004543C8
0043386A    68 1C554300     push test2.0043551C
0043386F    64:A1 00000000  mov eax,dword ptr fs:[0]
00433875    50              push eax
00433876    64:8925 0000000>mov dword ptr fs:[0],esp
0043387D    83EC 10         sub esp,0x10
00433880    53              push ebx
00433881    56              push esi                                 ; test2.00400000
00433882    57              push edi                                 ; test2.00451869
00433883    8965 E8         mov dword ptr ss:[ebp-0x18],esp
00433886    E8 F5E10100     call test2.00451A80                   ; 应为 KERNEL32.GetVersion ~ 00433891
0043388B    6933 D28AD489   imul esi,dword ptr ds:[ebx],0x89D48AD2  <----- 乱码
00433891    15 CCCB9602     adc eax,test2.0296CBCC                      <----- 乱码
00433896    8BC8            mov ecx,eax
00433898    81E1 FF000000   and ecx,0xFF
0043389E    890D C8CB9602   mov dword ptr ds:[0x296CBC8],ecx         ; test2.02A73000
004338A4    C1E1 08         shl ecx,0x8
004338A7    03CA            add ecx,edx
004338A9    890D C4CB9602   mov dword ptr ds:[0x296CBC4],ecx         ; test2.02A73000
004338AF    C1E8 10         shr eax,0x10
004338B2    A3 C0CB9602     mov dword ptr ds:[0x296CBC0],eax
004338B7    6A 00           push 0x0
004338B9    E8 7C2F0000     call test2.0043683A
004338BE    59              pop ecx                                  ; test2.02A7FE33
004338BF    85C0            test eax,eax
004338C1    75 08           jnz short test2.004338CB
004338C3    6A 1C           push 0x1C
004338C5    E8 9A000000     call test2.00433964
004338CA    59              pop ecx                                  ; test2.02A7FE33
004338CB    8365 FC 00      and dword ptr ss:[ebp-0x4],0x0
004338CF    E8 982D0000     call test2.0043666C
004338D4    E8 48E00100     call test2.00451921                   ; 应为GetCommandLineA  
004338D9    2C A3           sub al,0xA3

不知怎么修复
2024-5-9 21:27
0
雪    币: 13281
活跃值: (5893)
能力值: ( LV5,RANK:77 )
在线值:
发帖
回帖
粉丝
qux
5
您好,这是自己加的壳吗?如果是自己加的壳,可以分享一下相关的工具和原程序吗?
我这边试了下,XVolkolak 可以脱掉这个壳,https://horsicq.github.io/#xvolkolak
2024-5-18 22:56
0
雪    币: 221
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
软件狗加壳工具,需要开发狗才能使用。
在学习脱这种壳,想自己手动完成
2024-5-20 21:33
0
雪    币: 221
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
对IAT表的修复,偷码都不熟,正在学习中。。。
2024-5-20 21:34
0
雪    币: 221
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
qux 您好,这是自己加的壳吗?如果是自己加的壳,可以分享一下相关的工具和原程序吗? 我这边试了下,XVolkolak 可以脱掉这个壳,https://horsicq.github.io/#xvolkola ...
这个工具能完美脱壳吗?
2024-5-20 22:27
0
雪    币: 13281
活跃值: (5893)
能力值: ( LV5,RANK:77 )
在线值:
发帖
回帖
粉丝
qux
9
MicroCoin 这个工具能完美脱壳吗?
看起来处理之后的导入表都是正常的,但我不知道原程序长什么样,所以不确定是不是完美脱壳
2024-5-21 08:12
0
游客
登录 | 注册 方可回帖
返回
//