首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[原创]yoda's Protector V1.0X OEP Find Script
发表于: 2006-9-11 11:18 4673

[原创]yoda's Protector V1.0X OEP Find Script

vxin 活跃值
10
2006-9-11 11:18
4673
手脱:

OD载入停在此处:

0040F000 cscg->  E8 03000000           call cscg-cra.0040F008      //F7
0040F005         EB 01                 jmp short cscg-cra.0040F008
0040F007         90                    nop
0040F008         90                    nop                              //F8
0040F009         68 39B14000           push cscg-cra.0040B139           //F8
0040F00E         C3                    retn                             //F8 跳到:

0040B139         9C                    pushfd                           //F8  hr esp 运行,跳到:
0040B13A         60                    pushad
0040B13B         E8 00000000           call cscg-cra.0040B140
0040B140         5D                    pop ebp

0040B3AB       - E9 51ACFFFF           jmp cscg-cra.00406001             //F8 跳到:
0040B3B0         8BB5 6BFEFFFF         mov esi,dword ptr ss:[ebp-195]

00406001         33C0                  xor eax,eax                      //F8
00406003         64:8B20               mov esp,dword ptr fs:[eax]
00406006         64:8F00               pop dword ptr fs:[eax]
00406009         EB 02                 jmp short cscg-cra.0040600D
0040600B         78 69                 js short cscg-cra.00406076
0040600D         60                    pushad                         //一直F8到这里,继续ESP定律,来到:
0040600E         E8 00000000           call cscg-cra.00406013

004063B0        /75 08                 jnz short cscg-cra.004063BA     //F8
004063B2        |B8 01000000           mov eax,1
004063B7        |C2 0C00               retn 0C
004063BA        \68 74104000           push cscg-cra.00401074        //F8
004063BF         C3                    retn                          //飞向OEP

00401074         68 501F4000           push cscg-cra.00401F50             ; OEP! Dump吧~~~
00401079         E8 EEFFFFFF           call cscg-cra.0040106C             ; jmp 到

脚本:
//============================================================
//  FileName      :  yoda's Protector V1.0X OEP Find Script
//  Environment   :  WinXP SP2 + PSPad
//  Author        :  黑夜彩虹
//  WebSite       :  http://bbs.eastrise.net
//============================================================
var addr
STI
sto
sto
sto
sto
mov addr,esp
bphws addr,"r" 
run
BPHWC addr
sto
sto
sto
sto
sto
sto
mov addr,esp
bphws addr,"r"
run
BPHWC addr
sto
sto
sto
cmt eip, "This is the OEP! Found by 黑夜彩虹!"
MSG "Script by 黑夜彩虹,Thank you for using my Scripts!"
ret

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (8)
流行咒
雪    币: 70
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
不是 yoda's Protector V1.0X 吧?

感觉是 伪装+NSpack+Aspack~~
2006-9-11 12:12
0
CCDebuger
雪    币: 2506
活跃值: (1025)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
私信
3
脱 yoda's Protector 这么简单啊?这个软件的主程序是用 yoda's Protector 1.03.2 保护的,你可以用你的脚本试一下看看能不能脱。我不想试你的脚本,怕锁我的键盘和任务栏
软件下载地址:
http://dl.krylack.com/KLPassRecSetup.exe
2006-9-11 12:31
0
冷血书生
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
私信
4
脱后查一下EP块是不是显示np0?

2006-9-11 13:31
0
Kisco
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
++++应该是加了两层,里面的是北斗,外面的是Hying的壳PE-Armor伪装壳++++
2006-9-11 14:47
0
Kisco
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
~~~yoda's Protector~~~~~~~~~会令你的鼠标动不了,还会令windows的任务栏假死

2006-9-11 14:50
0
亚尔迪
雪    币: 221
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
明显是北斗+伪装壳!
2006-9-11 20:32
0
csks
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
革命尚未成功,同志们还需努力
2006-9-11 22:21
0
wofan[OCN]
雪    币: 2943
活跃值: (1788)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
私信
9
支持二楼的说法
2006-9-12 11:58
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//