[求助]新手脱UltraProtect 1.x -> RISCO Software Inc遇阻，恳请帮助！！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]新手脱UltraProtect 1.x -> RISCO Software Inc遇阻，恳请帮助！！

发表于: 2006-9-4 17:42 6213

[求助]新手脱UltraProtect 1.x -> RISCO Software Inc遇阻，恳请帮助！！

wxf

2006-9-4 17:42

6213

新手请教：一个程序是UltraProtect 1.x -> RISCO Software Inc.的壳。

搞了三天了，始终突破不了。

忽略除内存访问的所有异常，隐藏OD，

0049D000 >  60             pushad// ，入口点
0049D001 50             push eax
0049D002 E8 01000000    call sro_clie.0049D008
0049D007 9A 83C40458 F94>call far 49F9:5804C483
0049D00E F8             clc
0049D00F 71 03          jno short sro_clie.0049D014
0049D011 66:8BC8       mov cx,ax
0049D014 7C 03          jl short sro_clie.0049D019
0049D016 7D 01          jge short sro_clie.0049D019
0049D018 75 0F          jnz short sro_clie.0049D029
0049D01A 8D02          lea eax,dword ptr ds:[edx]
0049D01C 0000          add byte ptr ds:[eax],al
0049D01E 008B FBE80100 add byte ptr ds:[ebx+1E8FB],cl
0049D024 0000          add byte ptr ds:[eax],al
0049D026  - E9 83042406    jmp 066DD4AE
0049D02B C3             retn

F9运行：

004AE74D CD 01          int 1////  ，停在这里，内存访问中断
004AE74F 40             inc eax
004AE750 40             inc eax
004AE751 0BC0          or eax,eax
004AE753 75 05          jnz short sro_clie.004AE75A
004AE755 90             nop
004AE756 90             nop
004AE757 90             nop
004AE758 90             nop
004AE759 61             popad
004AE75A 33C0          xor eax,eax
004AE75C 64:8F00       pop dword ptr fs:[eax]
004AE75F 58             pop eax
004AE760 60             pushad

ALT+M打开内存窗口，

内存映射，项目 19
地址=00401000
大小=00025000 (151552.)
物主=sro_clie 00400000
区段=.text
包含=code
类型=Imag 01001002
访问=R
初始访问=RWE

在00401000下F2断点，SHIFT+F9运行，

0040CE71 68 A8B665D5    push D565B6A8  //// 停在这，看教程说到这应是OEP了，
0040CE76  - E9 926A0800    jmp sro_clie.0049390D
0040CE7B 2A3E          sub bh,byte ptr ds:[esi]
0040CE7D 184F 92       sbb byte ptr ds:[edi-6E],cl
0040CE80 AA             stos byte ptr es:[edi]
0040CE81 7B 47          jpo short sro_clie.0040CECA
0040CE83 4C             dec esp
0040CE84 BF 818CE2A0    mov edi,A0E28C81
0040CE89 3E:DDA6 E3FC143>frstor (108-byte) ptr ds:[esi+3114>
0040CE90 8460 68       test byte ptr ds:[eax+68],ah
0040CE93 A5             movs dword ptr es:[edi],dword ptr >
0040CE94 C4E3          les esp,ebx                      ; 非法使用寄存器
0040CE96 11F2          adc edx,esi

请教各位大哥大姐，这是OEP吗？？？？？？？？？？

在此脱壳，用PEID查壳查不出来，深度扫描是C++6.0，用ImportREC修复始终不成功。

请发扬传、帮、带的优良传统，为迷途中的学弟指明方向，，，谢了！！！！！！！！！！！

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (10)
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 2 楼 dump 后,退出OD , 运行一下哪个带壳的程序,再用 ImportREC 选择该进程, 填入OEP , 点自动查找IAT ,会找到好多无效的 iat ,用等级3修复,,然后再 fixdump 2006-9-4 20:33 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 3 楼是的，可修复后，提示0x000b57dd引用的0x000b57dd内存，该内存不能为READ。然后挂掉。。。。。手动修复不会。。。能详细点吗？？ 2006-9-4 21:08 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 4 楼修复后IMPORT提示：“IAT仍然是无效的。你必须手动修理全部未解决的指针。手动修理指针。。。。。。偶太菜了，不会呀。。。。 2006-9-4 21:29 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼看样子里面还有其他壳/处理吧自己用UltraProtect加壳记事本看看流程 2006-9-5 09:27 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 6 楼外面的壳修复不好，查不出里面的的壳。。。。。下一步该如何进行？？？？？？？没有方向！！！！ 2006-9-5 15:15 0
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 7 楼有没有原文件,本人太闲了,乐意帮你看看,注意: 并非帮你脱壳,, 可以的话请发到 getips@21cn.com 2006-9-5 19:11 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 8 楼谢谢KISCO，程序已发到你的邮箱中。。 2006-9-6 08:51 0
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 9 楼用常规方法就可以脱了 OD 载入忽略除内存访问异常以外的其它异常,,F9 运行下下,,断在 4ae74d , 堆栈提示 : 0012FF74 \|004AE731 SE 句柄去004AE731 下断,,shift + F9 断在004AE731 ,除消断点 , ALT+M 打开内存 , 在内存映射，项目 19 地址=00401000 大小=00025000 (151552.) Owner=sro_clie 00400000 区段=.text 包含=code 类型=Imag 01001002 访问=R 初始访问=RWE 上f2 下断或下内存访问断点也可以, F9 运行一下就到 OEP 了,OEP 是40ce71 ,用 LordPE dump full ,退出OD ,运行一下原程序,,打开ImportREC ,选择该进程, oep 处填 ce71 ,填好后点自动查找IAT ,找到后点一下显示无效的IAT ,会会发玩有好多无效的IAT ,在无效IAT 上点右键, 点跟踪等级3 修复无效IAT ,然后fixdump ,程序可正常运行这个版本的壳非常容易脱,,如果还是不明, ,加我QQ : 353308330 我再教你好了 2006-9-6 13:40 0
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 10 楼另外,,,OEP 是 40ce71 代码: 0040CE71 68 A8B665D5 push D565B6A8 0040CE76 - E9 926A0800 jmp sro_clie.0049390D 0040CE7B 2A3E sub bh,byte ptr ds:[esi] 0040CE7D 184F 92 sbb byte ptr ds:[edi-6E],cl 0040CE80 AA stos byte ptr es:[edi] 0040CE81 7B 47 jpo short sro_clie.0040CECA 0040CE83 4C dec esp 0040CE84 BF 818CE2A0 mov edi,A0E28C81 0040CE89 3E:DDA6 E3FC1431 frstor (108-byte) ptr ds:[esi+3114FCE3> 0040CE90 8460 68 test byte ptr ds:[eax+68],ah 0040CE93 A5 movs dword ptr es:[edi],dword ptr ds:[> 感觉代码怪怪的,原先以为还有一层壳,,但脱壳修复后的文件可正常运行,peid 显示Nothing found..用 deep scan 可以查到是 c++6.0 ,再用 PE explorer 可正常编辑资源,于是没有再跟下去了,估计是花指令吧... 2006-9-6 13:48 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 11 楼非常感谢KISCO！！！！我也是在CE71处拖的壳，但修复不能运行，，提示你必须手动修复未解决的指针。还有运行提示：xxxxxxxxx的内存不能为READ。。不知何故？？？？ 2006-9-6 18:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wxf

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 2 楼 dump 后,退出OD , 运行一下哪个带壳的程序,再用 ImportREC 选择该进程, 填入OEP , 点自动查找IAT ,会找到好多无效的 iat ,用等级3修复,,然后再 fixdump 2006-9-4 20:33 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 3 楼是的，可修复后，提示0x000b57dd引用的0x000b57dd内存，该内存不能为READ。然后挂掉。。。。。手动修复不会。。。能详细点吗？？ 2006-9-4 21:08 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 4 楼修复后IMPORT提示：“IAT仍然是无效的。你必须手动修理全部未解决的指针。手动修理指针。。。。。。偶太菜了，不会呀。。。。 2006-9-4 21:29 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼看样子里面还有其他壳/处理吧自己用UltraProtect加壳记事本看看流程 2006-9-5 09:27 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 6 楼外面的壳修复不好，查不出里面的的壳。。。。。下一步该如何进行？？？？？？？没有方向！！！！ 2006-9-5 15:15 0
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 7 楼有没有原文件,本人太闲了,乐意帮你看看,注意: 并非帮你脱壳,, 可以的话请发到 getips@21cn.com 2006-9-5 19:11 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 8 楼谢谢KISCO，程序已发到你的邮箱中。。 2006-9-6 08:51 0
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 9 楼用常规方法就可以脱了 OD 载入忽略除内存访问异常以外的其它异常,,F9 运行下下,,断在 4ae74d , 堆栈提示 : 0012FF74 \|004AE731 SE 句柄去004AE731 下断,,shift + F9 断在004AE731 ,除消断点 , ALT+M 打开内存 , 在内存映射，项目 19 地址=00401000 大小=00025000 (151552.) Owner=sro_clie 00400000 区段=.text 包含=code 类型=Imag 01001002 访问=R 初始访问=RWE 上f2 下断或下内存访问断点也可以, F9 运行一下就到 OEP 了,OEP 是40ce71 ,用 LordPE dump full ,退出OD ,运行一下原程序,,打开ImportREC ,选择该进程, oep 处填 ce71 ,填好后点自动查找IAT ,找到后点一下显示无效的IAT ,会会发玩有好多无效的IAT ,在无效IAT 上点右键, 点跟踪等级3 修复无效IAT ,然后fixdump ,程序可正常运行这个版本的壳非常容易脱,,如果还是不明, ,加我QQ : 353308330 我再教你好了 2006-9-6 13:40 0
Kisco 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 0 关注私信	Kisco 10 楼另外,,,OEP 是 40ce71 代码: 0040CE71 68 A8B665D5 push D565B6A8 0040CE76 - E9 926A0800 jmp sro_clie.0049390D 0040CE7B 2A3E sub bh,byte ptr ds:[esi] 0040CE7D 184F 92 sbb byte ptr ds:[edi-6E],cl 0040CE80 AA stos byte ptr es:[edi] 0040CE81 7B 47 jpo short sro_clie.0040CECA 0040CE83 4C dec esp 0040CE84 BF 818CE2A0 mov edi,A0E28C81 0040CE89 3E:DDA6 E3FC1431 frstor (108-byte) ptr ds:[esi+3114FCE3> 0040CE90 8460 68 test byte ptr ds:[eax+68],ah 0040CE93 A5 movs dword ptr es:[edi],dword ptr ds:[> 感觉代码怪怪的,原先以为还有一层壳,,但脱壳修复后的文件可正常运行,peid 显示Nothing found..用 deep scan 可以查到是 c++6.0 ,再用 PE explorer 可正常编辑资源,于是没有再跟下去了,估计是花指令吧... 2006-9-6 13:48 0
wxf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wxf 11 楼非常感谢KISCO！！！！我也是在CE71处拖的壳，但修复不能运行，，提示你必须手动修复未解决的指针。还有运行提示：xxxxxxxxx的内存不能为READ。。不知何故？？？？ 2006-9-6 18:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复