首页
社区
课程
招聘
[原创]ExeCryptor 2.2.X 脱壳
发表于: 2006-8-8 08:59 20640

[原创]ExeCryptor 2.2.X 脱壳

2006-8-8 08:59
20640

【文章标题】: 脱ExeCryptor2.2.50
【文章作者】: wynney
【软件名称】: UnPackMe ExeCryptor2.2.50.j
【软件大小】: 481K
【下载地址】: 自己搜索下载
【加壳方式】: ExeCryptor2.2.50
【保护方式】: All Protection Enabled + 100% Virtualization
【编写语言】: VC++
【操作平台】: XP SP2
【软件介绍】: Compressed Resources/Code/Data/Maximum ComPression
【作者声明】: 闲得无聊。凑热闹~^_^
--------------------------------------------------------------------------------
【详细过程】
  一、序言
  昨天找大家测试了一翻,初步结果是部分输入表没有修复的文件只能在我的同平台上运行,修复了输入表的找朋友把SP1、
  SP2、2000、2003 上都测试了个遍,没发现问题。至于如果在你那有问题,还望能够提供点实质性的帮助信息给我:)
  至于为什么放个部分输入表没修复的上来,是为了证实我的某些想法:)

  关于ExeCryptor的反OD能力的确是厉害,至于有多厉害,前人已有述说,我就不在这里累述。当然,也有不少破解之道,
  有兴趣的倒可以去好好拜读下loveboom的“穿透eXeCryptor 2.2x 保护体系(年终篇)”,的确经典,我也不多说。我这
  里介绍另外一种法子。使用NtGlobalFlag(OD插件)可以让它停在EP处,另外需要HideOD,IsDebug,Hidedbg插件。
  


我在配置OD的时候发现NtGlobalFlag与某些OD有冲突,导致OD根本就没法正常工作,不知道大家那里情况如何。为此,
我专门配置了一个脱ExeCryptor,大家可以多找几个OD试下。

  
  二、代码解压,找OEP
    1、打开OD
    2、忽略所有异常
    3、插件--NtGlobalFlag选下Set TempBreak on Tls Callback,SET LDR_SHOW_SNAPS
    4、隐藏OD
    5、打开需要脱壳的文件
  如果OD插件配置得好,隐藏得好,此时,一载入OD呈程序运行状态,不一会而就停在了Tls Callback处
  
  


我在配置OD的时候发现NtGlobalFlag与某些OD有冲突,导致OD根本就没法正常工作,不知道大家那里情况如何。为此,
我专门配置了一个脱ExeCryptor,大家可以多找几个OD试下。

00526918 E8 EBFEFFFF CALL UnPackMe.00526808 ;EP
0052691D 05 E55E0000 ADD EAX,5EE5
00526922 FFE0 JMP EAX
00526924 E8 04000000 CALL UnPackMe.0052692D ; TLS CallBack
00526929 FFFF ??? ; Unknown command
0052692B FFFF ??? ; Unknown command
0052692D 5E POP ESI
0052692E C3 RETN
0052692F 0000 ADD BYTE PTR DS:[EAX],AL
00526931 0000 ADD BYTE PTR DS:[EAX],AL

Address Module Active Disassembly Comment
0052690C UnPackMe One-shot CALL UnPackMe.00526808
7C92EBAC ntdll When STRING [[[esp+4]+18h PUSH EBP

00519E01 AA STOS BYTE PTR ES:[EDI] ;中断在此
00519E02 ^ EB E9 JMP SHORT UnPackMe.00519DED
00519E04 E8 FC000000 CALL UnPackMe.00519F05
00519E09 0F82 97000000 JB UnPackMe.00519EA6

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (34)
雪    币: 47147
活跃值: (20450)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
XP SP2正常
这句比较显眼,呵~“If you unpack it write a tutorial...”
2006-8-8 09:05
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
3
Teddy_Rogers 真有时间

XP SP2 可以运行
2006-8-8 09:08
0
雪    币: 556
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
4
win2003 error,看了一下,不明白为什么不修复输入表呢?
2006-8-8 09:19
0
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
5
最初由 loveboom 发布
win2003 error,看了一下,不明白为什么不修复输入表呢?

无意中发现,OD插件勾上输入表修复(1)直接脱壳在自己的机器上可以跑
就想大家测试下在其他机器上怎么样了,想证实下我的某些想法

这下面这个是我修复了输入表的,麻烦试试这个
上传的附件:
2006-8-8 09:34
0
雪    币: 198
活跃值: (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
两个文件在XP2运行正常
2006-8-8 10:48
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ywb
7
If you unpack it write a tutorial...”

请遵照执行
2006-8-8 11:20
0
雪    币: 238
活跃值: (12)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
8
运行正常,xpsp2
2006-8-8 11:43
0
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
9
天草可以试试2.3.9的  
2006-8-8 12:20
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
10
win2k下可以运行。
2006-8-8 14:09
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
XP SP2 下,两个都可以运行
2006-8-8 19:19
0
雪    币: 200
活跃值: (88)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
强烈要求楼主写教程!
2006-8-8 21:15
0
雪    币: 338
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
运行正常!!XP2
2006-8-8 22:38
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
14
Windows XP-SP1 ,ERROR

哕行邋锗,劫束程序....
2006-8-9 00:55
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
15
修复了IAT的 在SP1 2003虚拟机上正常!
2006-8-9 08:29
0
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
16
谢谢 大家帮忙测试
现在放上陋文
别丢砖头哦
2006-8-9 11:21
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
17
已经初始化的数据是 delphi 相关的吧,其他程序似乎没有见到.
2006-8-9 11:47
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
18
哈哈 终于放教程了
精华!
2006-8-9 14:15
0
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
19
最初由 wynney 发布
3、再此请教下关于DarkBull在他的文章之中提到的修复已初始数据的原理


这点也没搞懂  

调试用ollyice+hideod就可以  其它隐藏od插件就不用了
否则可能导致无法正常调试的。
2006-8-9 18:12
0
雪    币: 269
活跃值: (51)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
20
教程很好,最好能做个动画.
2006-8-9 19:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
好文  。。。
2006-8-9 20:20
0
雪    币: 175
活跃值: (2531)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
2003系统运行错误。
2006-8-9 20:26
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
If you unpack it write a tutorial...”

请遵照执行
2006-8-9 21:52
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
24
最初由 xingbing 发布
2003系统运行错误。

楼猪已经说过了的嘛
第一个是没修复输入表的
除了XP SP2上是跑不起来的
5楼在我在我的虚拟2003,2000上测试过没问题
2006-8-10 00:00
0
雪    币: 274
活跃值: (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
谁可以帮我脱一下:EXECryptor 2.2.4的壳,由于权限不够,上传不了附件!乐意帮忙的联系我!QQ:122383394
2006-8-24 09:50
0
游客
登录 | 注册 方可回帖
返回
//