只要是VB程序，不管是什么壳.....-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

只要是VB程序，不管是什么壳.....

发表于: 2006-9-4 16:56 9698

只要是VB程序，不管是什么壳.....

xoojo

2006-9-4 16:56

9698

只是对找入口点有帮助，本人菜鸟，请大家别笑话。

最日，群里一菜鸟问我，下面是他的原话：
“闹心死了。。。PESpin 0.3x - 0.4x -> cyberbob
  交交我怎么脱吧。。。我都快疯了。。。 ”
（晕，本来我就菜，还问我）

这下可把我急得不行，因为我是群主，得给兄弟一个交待，一看程序是VB写的，我乐了！

因为VB的程序的特点使得找入口点很容易（受**oooo兄的启发呀）

不多说了，下面是我的解决方法(win2k,OD,hideOD)：

1.忽略所有异常，跑一遍，按ALT+L（主要是看有哪些异常，sh****说的），按ALT+M（看到有“msvbvm60”模块，所以判断出是VB程序）,完成了初步的侦察！

2.再用OD加载后到这里
00429087 > /EB 01          jmp    short 0042908A
用ALT+m看一下，还没有“msvbvm60”模块。我想：程序运行之前,总得加载“msvbvm60”模块吧？
故在LoadLibrary末尾的retn下断（方法：在代码窗口，查找->所有模块中的名称->load.....）.

3.本例子中经过一次异常，在LoadLibrary末尾断下来了，删除所有断点后，按F8
779EFA9E 3BC3          cmp    eax, ebx//到这里
F8直到retn
779EFAD9 C3             retn //到这里

4.ALT+m,发现了“msvbvm60”模块，ALT+C到代码窗口,查找，所有->所有模块中的名称,这里我们输入ThunRTMain,于是会发现这一行：
6A28DE3E MSVBVM60 .text  输出  ThunRTMain

5.然后执行最重要的一步:CTRL+G 输入 6A28DE3E 对这个地方设断，将 ThunRTMain 的第一个指令改为 retn（好让程序返回调用处）

6.接下来，就容易了，F9，断下，删除断点，让它执行retn完就到了
004011E4 68 601C4000    push 00401C60
004011E9 E8 EEFFFFFF    call 004011DC                      ; jmp 到 MSVBVM60.ThunRTMain
004011EE 0000          add    [eax], al  //返回到这里
入口点的第三行呀！呵呵！！这时我们把对ThunRTMain的修改改回去，用OD自带的插件dump程序，入口点是11E4.用importrec修复即可。

7.总结:
VB程序的入口点前两句都是差不多的：
004011E4 68 601C4000    push 00401C60
004011E9 E8 EEFFFFFF    call 004011DC                      ; jmp 到 MSVBVM60.ThunRTMain

如果我们将ThunRTMain的第一句改为retn，即可返回到程序的第三行。
(高人教我们，VC的在GetVersion末尾的retn下断,原理是一样的!)

8.还不知是不是 PESpin 0.3x - 0.4x 加的壳呢！用peid查一下，是PESpin 0.70 -> cyberbob！

                        (http://www.cracking.com.cn)

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

daycrackinggroup.rar （94.10kb，59次下载）

收藏・2

免费・0

支持

最新回复 (31) 1 2 ▶
sjclch 雪币： 89 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 147 粉丝 3 关注私信	sjclch 2 楼先来支持 2006-9-4 17:49 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 3 楼支持，回去也找几个VB程序试试。 2006-9-4 19:32 0
xudong 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	xudong 4 楼还不错如果能再详细些就更好了,菜鸟要读懂这篇还是有难度的 2006-9-4 20:22 0
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 5 楼我用fileinfo 查也是 PeSpin v0.7 2006-9-5 20:02 0
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 6 楼请问楼主：故在LoadLibrary末尾的retn下断（方法：在代码窗口，查找->所有模块中的名称->load.....）. 怎么找到这个要下断得retn得。我是新手。谢谢!! 2006-9-5 20:47 0
xoojo 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 186 粉丝 0 关注私信	xoojo 7 楼 loadlibrarya loadlibraryexa 这些总有吧!? 2006-9-6 08:57 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 8 楼最初由萧泪血* 发布* 请问楼主：故在LoadLibrary末尾的retn下断（方法：在代码窗口，查找->所有模块中的名称->load.....）. 怎么找到这个要下断得retn得。我是新手。谢谢!! 最简单的方法，直接在CPU窗口中用Ctrl+G键，在打开的对话框中输入LoadLibraryA，回车，OD将直接进入LoadLibraryA的API函数入口，再向下找到retn语句下一个F2断点即可。 2006-9-6 09:01 0
headline 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	headline 9 楼你们群号多少啊　我想进去和大家交流下 2006-9-6 21:43 0
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 10 楼最初由小虾发布最简单的方法，直接在CPU窗口中用Ctrl+G键，在打开的对话框中输入LoadLibraryA，回车，OD将直接进入LoadLibraryA的API函数入口，再向下找到retn语句下一个F2断点即可。我用这个方法走到一个jmp EFD276E0，然后就走不动了。该怎么办了啊。谢谢!! 2006-9-11 16:54 0
cxlrb 雪币： 238 活跃值： (12) 能力值： ( LV9，RANK：210 ) 在线值：发帖 192 回帖 923 粉丝 0 关注私信	cxlrb 5 11 楼交交我怎么脱吧。。。我都快疯了。。。 ” "交交"?还是"教教"?第一个有歧异的,老兄甚用,开个玩笑! 2006-9-11 23:21 0
zjierr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zjierr 12 楼能不能做个教程啊？・！！！！！！！！！ 2006-9-12 22:27 0
zjierr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zjierr 13 楼终于有点眉目了！！郁闷啊・！ 2006-9-12 22:46 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 14 楼最初由 zjierr* 发布* 能不能做个教程啊？・！！！！！！！！！楼主不是讲的很清楚了，还需要什么教程？ 2006-9-14 17:36 0
kueni 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kueni 15 楼轻易不敢发言，遇到此难题了，阅读研究中，谢谢！！！ 2006-9-14 22:44 0
9494 雪币： 172 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 245 粉丝 0 关注私信	9494 16 楼还没有看到“msvbvm60”模块,od运行中程序就出错了（已忽略所有异常） 2006-9-15 19:33 0
scooly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	scooly 17 楼呵呵，这可是好办法 2006-9-18 12:03 0
jacksheng 雪币： 227 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 81 粉丝 0 关注私信	jacksheng 1 18 楼郁闷中,看起来有点困难,因为我很菜 2006-9-18 12:14 0
Eanry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	Eanry 19 楼的确不错的方法。我坚信：只要方法和思路正确，即使更困难的事情总有完成的一天！支持楼主。也希望以后可以看到这类有明确方法和目标的帖子！我先收藏先！ 2006-9-18 15:32 0
lengie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	lengie 20 楼学习下,VB程序可以这样脱呀 2006-9-18 19:41 0
caiweb 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 41 粉丝 0 关注私信	caiweb 21 楼好办法.我试试看 2006-9-19 00:02 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 22 楼不太看得懂啊，真希望能再说得详细些 2006-9-20 21:28 0
星夜明宇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	星夜明宇 23 楼我反编一个vb程序是，用查壳工具没发现壳，但不能用字符串参考是怎么回是啊 2006-9-20 23:55 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 24 楼最初由小虾发布最简单的方法，直接在CPU窗口中用Ctrl+G键，在打开的对话框中输入LoadLibraryA，回车，OD将直接进入LoadLibraryA的API函数入口，再向下找到retn语句下一个F2断点即可。按照操作找到这儿一直翻到最后，也没找到一个retn 哪儿操作出错了？ 2006-9-21 20:09 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 25 楼最初由 jerryme* 发布* 按照操作找到这儿 ........ 可能是你的OD的问题。我的是这样的。 2006-9-21 21:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xoojo

发帖

186

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
sjclch 雪币： 89 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 147 粉丝 3 关注私信	sjclch 2 楼先来支持 2006-9-4 17:49 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 3 楼支持，回去也找几个VB程序试试。 2006-9-4 19:32 0
xudong 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	xudong 4 楼还不错如果能再详细些就更好了,菜鸟要读懂这篇还是有难度的 2006-9-4 20:22 0
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 5 楼我用fileinfo 查也是 PeSpin v0.7 2006-9-5 20:02 0
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 6 楼请问楼主：故在LoadLibrary末尾的retn下断（方法：在代码窗口，查找->所有模块中的名称->load.....）. 怎么找到这个要下断得retn得。我是新手。谢谢!! 2006-9-5 20:47 0
xoojo 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 186 粉丝 0 关注私信	xoojo 7 楼 loadlibrarya loadlibraryexa 这些总有吧!? 2006-9-6 08:57 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 8 楼最初由萧泪血* 发布* 请问楼主：故在LoadLibrary末尾的retn下断（方法：在代码窗口，查找->所有模块中的名称->load.....）. 怎么找到这个要下断得retn得。我是新手。谢谢!! 最简单的方法，直接在CPU窗口中用Ctrl+G键，在打开的对话框中输入LoadLibraryA，回车，OD将直接进入LoadLibraryA的API函数入口，再向下找到retn语句下一个F2断点即可。 2006-9-6 09:01 0
headline 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	headline 9 楼你们群号多少啊　我想进去和大家交流下 2006-9-6 21:43 0
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 10 楼最初由小虾发布最简单的方法，直接在CPU窗口中用Ctrl+G键，在打开的对话框中输入LoadLibraryA，回车，OD将直接进入LoadLibraryA的API函数入口，再向下找到retn语句下一个F2断点即可。我用这个方法走到一个jmp EFD276E0，然后就走不动了。该怎么办了啊。谢谢!! 2006-9-11 16:54 0
cxlrb 雪币： 238 活跃值： (12) 能力值： ( LV9，RANK：210 ) 在线值：发帖 192 回帖 923 粉丝 0 关注私信	cxlrb 5 11 楼交交我怎么脱吧。。。我都快疯了。。。 ” "交交"?还是"教教"?第一个有歧异的,老兄甚用,开个玩笑! 2006-9-11 23:21 0
zjierr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zjierr 12 楼能不能做个教程啊？・！！！！！！！！！ 2006-9-12 22:27 0
zjierr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	zjierr 13 楼终于有点眉目了！！郁闷啊・！ 2006-9-12 22:46 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 14 楼最初由 zjierr* 发布* 能不能做个教程啊？・！！！！！！！！！楼主不是讲的很清楚了，还需要什么教程？ 2006-9-14 17:36 0
kueni 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kueni 15 楼轻易不敢发言，遇到此难题了，阅读研究中，谢谢！！！ 2006-9-14 22:44 0
9494 雪币： 172 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 245 粉丝 0 关注私信	9494 16 楼还没有看到“msvbvm60”模块,od运行中程序就出错了（已忽略所有异常） 2006-9-15 19:33 0
scooly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	scooly 17 楼呵呵，这可是好办法 2006-9-18 12:03 0
jacksheng 雪币： 227 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 81 粉丝 0 关注私信	jacksheng 1 18 楼郁闷中,看起来有点困难,因为我很菜 2006-9-18 12:14 0
Eanry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	Eanry 19 楼的确不错的方法。我坚信：只要方法和思路正确，即使更困难的事情总有完成的一天！支持楼主。也希望以后可以看到这类有明确方法和目标的帖子！我先收藏先！ 2006-9-18 15:32 0
lengie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	lengie 20 楼学习下,VB程序可以这样脱呀 2006-9-18 19:41 0
caiweb 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 41 粉丝 0 关注私信	caiweb 21 楼好办法.我试试看 2006-9-19 00:02 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 22 楼不太看得懂啊，真希望能再说得详细些 2006-9-20 21:28 0
星夜明宇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	星夜明宇 23 楼我反编一个vb程序是，用查壳工具没发现壳，但不能用字符串参考是怎么回是啊 2006-9-20 23:55 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 24 楼最初由小虾发布最简单的方法，直接在CPU窗口中用Ctrl+G键，在打开的对话框中输入LoadLibraryA，回车，OD将直接进入LoadLibraryA的API函数入口，再向下找到retn语句下一个F2断点即可。按照操作找到这儿一直翻到最后，也没找到一个retn 哪儿操作出错了？ 2006-9-21 20:09 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 25 楼最初由 jerryme* 发布* 按照操作找到这儿 ........ 可能是你的OD的问题。我的是这样的。 2006-9-21 21:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复