发我的一新壳加壳的记事本加壳测试。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

发我的一新壳加壳的记事本加壳测试。

发表于: 2006-7-1 16:22 8588

发我的一新壳加壳的记事本加壳测试。

netsowell

2006-7-1 16:22

8588

pe123最终还是死在了不稳定和不先进的思路和破烂的shell构架上面。
因此这几天我重新整理思路，改用VC 重新写了一个新壳，着重与稳定和扩展性，同样没有anti 没有花，因为我相信，到了某种程度，即使不用anti和花指令，也可以让修复变得困难。
这次主要的测试点是IAT修复。谢谢各位大牛们，希望能帮我测试下。
运行密码 123456

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

notepad.zip （49.46kb，9次下载）

收藏・0

免费・0

支持

最新回复 (41) 1 2 ▶
ynboyinkm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 443 粉丝 0 关注私信	ynboyinkm 2 楼看看!楼主的新壳! 2006-7-1 17:51 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 3 楼强，支持~有空学习一下~ 2006-7-1 18:25 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼稳定了我才写unpacker 再给我一个样品 =====================OEP============================ GetModuleHandleA kernel32.dll 00A01F5D 83C4 10 ADD ESP, 10 00A01F60 61 POPA 00A01F61 68 9D730001 PUSH 100739D 00A01F66 C3 RETN ==================== IAT =========================== 模拟一下就出来了 00A01E4B 8B85 FCF9FFFF MOV EAX, [EBP-604] 00A01E51 C700 E8000000 MOV DWORD PTR [EAX], 0E8 ; make call 00A01E57 8B8D 00FAFFFF MOV ECX, [EBP-600] 00A01E5D 83C1 01 ADD ECX, 1 00A01E60 898D 00FAFFFF MOV [EBP-600], ECX 00A01E66 8B95 24FAFFFF MOV EDX, [EBP-5DC] 00A01E6C 0395 00FAFFFF ADD EDX, [EBP-600] 00A01E72 8995 FCF9FFFF MOV [EBP-604], EDX 00A01E78 8B85 2CFAFFFF MOV EAX, [EBP-5D4] ; -5D4 == dll redirecotr 00A01E7E 2B85 FCF9FFFF SUB EAX, [EBP-604] 00A01E84 83E8 04 SUB EAX, 4 ... 00A01E95 83C2 04 ADD EDX, 4 00A01E98 8995 00FAFFFF MOV [EBP-600], EDX 00A01E9E 8B85 1CFAFFFF MOV EAX, [EBP-5E4] 00A01EA4 83C0 01 ADD EAX, 1 00A01EA7 8985 1CFAFFFF MOV [EBP-5E4], EAX 00A01EAD 8B8D 18FAFFFF MOV ECX, [EBP-5E8] ; notepad.0101A210 00A01EB3 83C1 04 ADD ECX, 4 00A01EB6 898D 18FAFFFF MOV [EBP-5E8], ECX ; notepad.0101A210 00A01EBC ^ E9 ABFDFFFF JMP 00A01C6C ; IAT loop 00A01EC1 C785 1CFAFFFF 0>MOV DWORD PTR [EBP-5E4], 0 00A01ECB 8B95 18FAFFFF MOV EDX, [EBP-5E8] ; notepad.0101A228 00A01ED1 83C2 04 ADD EDX, 4 00A01ED4 8995 28FAFFFF MOV [EBP-5D8], EDX ; notepad.0101A22C 00A01EDA ^ E9 52FBFFFF JMP 00A01A31 2006-7-1 19:03 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 5 楼稳定了我才用unpacker 2006-7-1 19:13 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 6 楼 2006-7-1 19:15 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 7 楼希望早点看到楼主作品！ 2006-7-1 19:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼 IAT很容易修复不知道为啥标题没了。上传的附件： dumped_.rar （64.25kb，3次下载） 2006-7-1 20:18 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼我要奖品，花了半小时写脱壳机呢 2006-7-1 20:22 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 10 楼看来要再加几组随机处理方式，然后再多加密一下。弄好了再来奖励你另一个文件。 2006-7-1 20:29 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 11 楼没用的，我做了个伪VM，只要你调用API，就死翘翘要主程序和源代码 2006-7-1 20:32 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 12 楼最初由 forgot* 发布* 没用的，我做了个伪VM，只要你调用API，就死翘翘要主程序和源代码可能有对付办法了，主程序完善了可以第一个给你。 2006-7-1 20:33 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 13 楼你把壳给我，你死翘翘我把脱壳给你，我就死翘翘我在暗你在明，你总是死翘翘 2006-7-1 20:35 0
china 雪币： 3638 活跃值： (4197) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1984 粉丝 9 关注私信	china 5 14 楼最初由 netsowell* 发布* 可能有对付办法了，主程序完善了可以第一个给你。我排第2吗？ 2006-7-1 20:36 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 15 楼最初由 forgot* 发布* 你把壳给我，你死翘翘我把脱壳给你，我就死翘翘我在暗你在明，你总是死翘翘我不怕，这次shell代码和写正常的C++程序没区别，所以VM就在后面，IAT处理，我估计会再加几中方法，看看有办法逃出你的VM没有，然后再弄多点IAT代理和模拟函数，资源加密的方案我也有了。 2006-7-1 20:40 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 16 楼最初由 china* 发布* 我排第2吗？当然没问题 2006-7-1 20:41 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 17 楼再贴一个看看 2006-7-1 20:44 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 18 楼最初由 forgot* 发布* 再贴一个看看 Delphi的程序上传的附件： project12.zip （204.18kb，5次下载） 2006-7-1 20:48 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 19 楼应该没有问题了上传的附件： dumped_.rar （352.41kb，1次下载） 2006-7-1 20:50 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 20 楼最初由 forgot* 发布* 应该没有问题了基本上有苗头了，被你弄死在第一次申请内存空间和生成调用代码处。 2006-7-1 20:53 0
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 21 楼最初由 forgot* 发布* 你把壳给我，你死翘翘我把脱壳给你，我就死翘翘我在暗你在明，你总是死翘翘我喜欢！！！ :-) 2006-7-1 20:53 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 22 楼最初由 netsowell* 发布* 基本上有苗头了，被你弄死在第一次申请内存空间和生成调用代码处。错，嘿。我根本没管你，直接到OEP，然后修复IAT。 2006-7-1 20:55 0
china 雪币： 3638 活跃值： (4197) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1984 粉丝 9 关注私信	china 5 23 楼小林继续，写脱机。 netsowell 继续弄小林 2006-7-1 20:56 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 24 楼交出源代码，奖励脱壳机一个回去研究 2006-7-1 20:57 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 25 楼最初由 forgot* 发布* 错，嘿。我根本没管你，直接到OEP，然后修复IAT。恩，总有办法对付的，等下回去好好想想。 2006-7-1 20:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

netsowell

发帖

554

回帖

450

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (41) 1 2 ▶
ynboyinkm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 443 粉丝 0 关注私信	ynboyinkm 2 楼看看!楼主的新壳! 2006-7-1 17:51 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 3 楼强，支持~有空学习一下~ 2006-7-1 18:25 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼稳定了我才写unpacker 再给我一个样品 =====================OEP============================ GetModuleHandleA kernel32.dll 00A01F5D 83C4 10 ADD ESP, 10 00A01F60 61 POPA 00A01F61 68 9D730001 PUSH 100739D 00A01F66 C3 RETN ==================== IAT =========================== 模拟一下就出来了 00A01E4B 8B85 FCF9FFFF MOV EAX, [EBP-604] 00A01E51 C700 E8000000 MOV DWORD PTR [EAX], 0E8 ; make call 00A01E57 8B8D 00FAFFFF MOV ECX, [EBP-600] 00A01E5D 83C1 01 ADD ECX, 1 00A01E60 898D 00FAFFFF MOV [EBP-600], ECX 00A01E66 8B95 24FAFFFF MOV EDX, [EBP-5DC] 00A01E6C 0395 00FAFFFF ADD EDX, [EBP-600] 00A01E72 8995 FCF9FFFF MOV [EBP-604], EDX 00A01E78 8B85 2CFAFFFF MOV EAX, [EBP-5D4] ; -5D4 == dll redirecotr 00A01E7E 2B85 FCF9FFFF SUB EAX, [EBP-604] 00A01E84 83E8 04 SUB EAX, 4 ... 00A01E95 83C2 04 ADD EDX, 4 00A01E98 8995 00FAFFFF MOV [EBP-600], EDX 00A01E9E 8B85 1CFAFFFF MOV EAX, [EBP-5E4] 00A01EA4 83C0 01 ADD EAX, 1 00A01EA7 8985 1CFAFFFF MOV [EBP-5E4], EAX 00A01EAD 8B8D 18FAFFFF MOV ECX, [EBP-5E8] ; notepad.0101A210 00A01EB3 83C1 04 ADD ECX, 4 00A01EB6 898D 18FAFFFF MOV [EBP-5E8], ECX ; notepad.0101A210 00A01EBC ^ E9 ABFDFFFF JMP 00A01C6C ; IAT loop 00A01EC1 C785 1CFAFFFF 0>MOV DWORD PTR [EBP-5E4], 0 00A01ECB 8B95 18FAFFFF MOV EDX, [EBP-5E8] ; notepad.0101A228 00A01ED1 83C2 04 ADD EDX, 4 00A01ED4 8995 28FAFFFF MOV [EBP-5D8], EDX ; notepad.0101A22C 00A01EDA ^ E9 52FBFFFF JMP 00A01A31 2006-7-1 19:03 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 5 楼稳定了我才用unpacker 2006-7-1 19:13 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 6 楼 2006-7-1 19:15 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 7 楼希望早点看到楼主作品！ 2006-7-1 19:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼 IAT很容易修复不知道为啥标题没了。上传的附件： dumped_.rar （64.25kb，3次下载） 2006-7-1 20:18 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼我要奖品，花了半小时写脱壳机呢 2006-7-1 20:22 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 10 楼看来要再加几组随机处理方式，然后再多加密一下。弄好了再来奖励你另一个文件。 2006-7-1 20:29 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 11 楼没用的，我做了个伪VM，只要你调用API，就死翘翘要主程序和源代码 2006-7-1 20:32 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 12 楼最初由 forgot* 发布* 没用的，我做了个伪VM，只要你调用API，就死翘翘要主程序和源代码可能有对付办法了，主程序完善了可以第一个给你。 2006-7-1 20:33 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 13 楼你把壳给我，你死翘翘我把脱壳给你，我就死翘翘我在暗你在明，你总是死翘翘 2006-7-1 20:35 0
china 雪币： 3638 活跃值： (4197) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1984 粉丝 9 关注私信	china 5 14 楼最初由 netsowell* 发布* 可能有对付办法了，主程序完善了可以第一个给你。我排第2吗？ 2006-7-1 20:36 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 15 楼最初由 forgot* 发布* 你把壳给我，你死翘翘我把脱壳给你，我就死翘翘我在暗你在明，你总是死翘翘我不怕，这次shell代码和写正常的C++程序没区别，所以VM就在后面，IAT处理，我估计会再加几中方法，看看有办法逃出你的VM没有，然后再弄多点IAT代理和模拟函数，资源加密的方案我也有了。 2006-7-1 20:40 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 16 楼最初由 china* 发布* 我排第2吗？当然没问题 2006-7-1 20:41 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 17 楼再贴一个看看 2006-7-1 20:44 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 18 楼最初由 forgot* 发布* 再贴一个看看 Delphi的程序上传的附件： project12.zip （204.18kb，5次下载） 2006-7-1 20:48 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 19 楼应该没有问题了上传的附件： dumped_.rar （352.41kb，1次下载） 2006-7-1 20:50 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 20 楼最初由 forgot* 发布* 应该没有问题了基本上有苗头了，被你弄死在第一次申请内存空间和生成调用代码处。 2006-7-1 20:53 0
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 21 楼最初由 forgot* 发布* 你把壳给我，你死翘翘我把脱壳给你，我就死翘翘我在暗你在明，你总是死翘翘我喜欢！！！ :-) 2006-7-1 20:53 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 22 楼最初由 netsowell* 发布* 基本上有苗头了，被你弄死在第一次申请内存空间和生成调用代码处。错，嘿。我根本没管你，直接到OEP，然后修复IAT。 2006-7-1 20:55 0
china 雪币： 3638 活跃值： (4197) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1984 粉丝 9 关注私信	china 5 23 楼小林继续，写脱机。 netsowell 继续弄小林 2006-7-1 20:56 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 24 楼交出源代码，奖励脱壳机一个回去研究 2006-7-1 20:57 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 25 楼最初由 forgot* 发布* 错，嘿。我根本没管你，直接到OEP，然后修复IAT。恩，总有办法对付的，等下回去好好想想。 2006-7-1 20:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复