首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]EXECryptor 脱壳疑问???
发表于: 2007-2-25 16:35 10741

[求助]EXECryptor 脱壳疑问???

zlxknt 活跃值
2007-2-25 16:35
10741
给notepad.exe加壳练习脱壳,保护选项是全选的,版本是EXECryptor 2.2.4
peid查壳:EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h1) *

使用工具:OllyICE v1.10 [2007.2.16]、Bypass AntiDBG OEP
HideOD隐藏

每次一运行脚本就有这样一个提示
0108C185    F0:F1           lock int1                                ; 不允许锁定前缀

怎么都不行……请问这样的情况是什么意思?该如何应对呢?

记事本加壳练习,我贴上来了。有时间的朋友脱下的话简单的写一下过程吧~~万分感谢~~!!

[注意]看雪招聘,专注安全领域的专业人才平台!

上传的附件:
收藏
免费
支持
分享
最新回复 (22)
阿健
雪    币: 2054
活跃值: (297)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
私信
2
try:
1
NOP
2007-2-25 16:36
0
小冬
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
哦,原来如此!!!
学到了!!!!!!!
2007-2-27 08:02
0
酷酷
雪    币: 201
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
不能nop掉的

可以把
0108C185    F0:F1           lock int1                                ; 不允许锁定前缀

改成
0108C185    F0:F1           lock int3

因为ExeC在SEH回调涵数中做了很多工作,如果不进入SEH,就game over了
2007-2-27 10:56
0
cxhcxh
雪    币: 287
活跃值: (137)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
5
脚本可以完全脱壳
ANTI+IAT
2007-2-27 13:55
0
hbqjxhw
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
6
我也被卡在这里了,只能按“确定”,不能做其它任何操作。
2007-3-2 15:06
0
hbqjxhw
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
7
OllyDbg Execryptor Edition我是用这个版本的OD还是跑不完。
这个版本的OD,怎么没不命令输入小窗口。
也是设置(事件-->系统断点)
2007-3-2 15:30
0
酷酷
雪    币: 201
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
1、od 加载

2、修改

0108C183    0000            add     [eax], al
0108C185    CD 03           int     3  --------改为int3
0108C187  ^ E9 BEDDFFFF     jmp     01089F4A

3、F9 到达  ep
01093A0A >  E8 F7FEFFFF     call    01093906
01093A0F    05 4DB70000     add     eax, 0B74D

你没有选什么反调试选项
2007-3-2 15:39
0
hbqjxhw
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
9
最初由 machenglin 发布
插件减少到最少化,既为EXEC专门做一个插件文件夹。

不知马兄用的什么OD,能否提供下载地址。
2007-3-2 16:02
0
ruyi
雪    币: 191
活跃值: (73)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
10
最初由 hbqjxhw 发布
OllyDbg Execryptor Edition我是用这个版本的OD还是跑不完。
这个版本的OD,怎么没不命令输入小窗口。
也是设置(事件-->系统断点)


ALT + F1
2007-3-2 20:54
0
ruyi
雪    币: 191
活跃值: (73)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
11
马兄,用EXECrpytor修改的OllyDBG运行Bypass AntiDBG OEP可以得到和你一样的结果。

更进一步的,如果运用IAT修复脚本呢?

还有一个问题,我碰到一个东西,主程序和加载的DLL都被加密用Bypass AntiDBG OEP脚本破主程序失败!
2007-3-2 21:37
0
ruyi
雪    币: 191
活跃值: (73)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
12
马兄,我在继续尝试过程中遇到了问题。

在IAT修复中,01001000(EIP建立在了01001000处)以后逐步出现了真实的函数,但是运行不久就提示非法操作确定或者取消,取消将结束调试,我只能继续。

继续不久程序提示00000000不可读。一直点确定,程序退出?!

请问,这是我机器的原因,还是步骤的问题呢?
2007-3-2 23:29
0
ruyi
雪    币: 191
活跃值: (73)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
13
010010A0  7C8336DD  kernel32.GetDateFormatW
010010A4  7C833F3B  kernel32.GetTimeFormatW
010010A8  7C80FF19  kernel32.GlobalLock
010010AC  7C80FE82  kernel32.GlobalUnlock
010010B0  7C810C6D  kernel32.GetFileInformationByHandle
010010B4  7C80938E  kernel32.CreateFileMappingW
010010B8  01041D64  NOTEPAD1.01041D64

当时走到这里就出现上边的错误停止了,我将脚本插件换做ODbgScripts v1.51执行脚本一个函数也没有修复过来,就看到了脚本运行结束的提示。

上帝保佑!
2007-3-2 23:43
0
hbqjxhw
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
14
最初由 ruyi 发布
ALT + F1

谢谢提示。

我用OllyDbg_Execryptor这个之后一切都很正常,就是有一个函数异常,
01001260  77D216E2  user32.GetSubMenu
01001264  77D3148B  user32.GetMenu
01001268  01038779  NOTEPAD1.01038779------->这个异常
0100126C  77D1D62B  user32.SetWindowLongW
01001270  77D188A6  user32.GetWindowLongW
01001274  77D24816  user32.GetDlgItem

这个异常的函数如何可以跟出来
2007-3-2 23:48
0
ruyi
雪    币: 191
活跃值: (73)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
15
PE_KILL的V1.9脚本运行报错FFFFFFFF有问题,不明白解决不来,放弃。

IAT v1.1 脚本提示有两个错误,清0后成功运行,利用PETOOLS完整转储文件,修正大小后完整转储。EIP还是定在01001000上,修复后的文件入口点我用的是0075B8,读取输入表修复文件,提示非法操作  

还有一个事,转储的文件查仍然是加壳滴?
2007-3-3 01:18
0
ruyi
雪    币: 191
活跃值: (73)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
16
Target:
OEP: 000075BA        IATRVA: 00001000        IATSize: 00000348

FThunk: 00001000        NbFunc: 00000007
1        00001000        advapi32.dll        0000        RegQueryValueExW
1        00001004        advapi32.dll        0000        RegCloseKey
1        00001008        advapi32.dll        0000        RegCreateKeyW
1        0000100C        advapi32.dll        0000        IsTextUnicode
1        00001010        advapi32.dll        0000        RegQueryValueExA
1        00001014        advapi32.dll        0000        RegOpenKeyExA
1        00001018        advapi32.dll        0000        RegSetValueExW

FThunk: 00001020        NbFunc: 00000001
1        00001020        comctl32.dll        0000        CreateStatusWindowW

FThunk: 00001028        NbFunc: 00000018
1        00001028        gdi32.dll        0000        EndPage
1        0000102C        gdi32.dll        0000        AbortDoc
1        00001030        gdi32.dll        0000        EndDoc
1        00001034        gdi32.dll        0000        DeleteDC
1        00001038        gdi32.dll        0000        StartPage
1        0000103C        gdi32.dll        0000        GetTextExtentPoint32W
1        00001040        gdi32.dll        0000        CreateDCW
1        00001044        gdi32.dll        0000        SetAbortProc
1        00001048        gdi32.dll        0000        GetTextFaceW
1        0000104C        gdi32.dll        0000        TextOutW
1        00001050        gdi32.dll        0000        StartDocW
1        00001054        gdi32.dll        0000        EnumFontsW
1        00001058        gdi32.dll        0000        GetStockObject
1        0000105C        gdi32.dll        0000        GetObjectW
1        00001060        gdi32.dll        0000        GetDeviceCaps
1        00001064        gdi32.dll        0000        CreateFontIndirectW
1        00001068        gdi32.dll        0000        DeleteObject
1        0000106C        gdi32.dll        0000        GetTextMetricsW
1        00001070        gdi32.dll        0000        SetBkMode
1        00001074        gdi32.dll        0000        LPtoDP
1        00001078        gdi32.dll        0000        SetWindowExtEx
1        0000107C        gdi32.dll        0000        SetViewportExtEx
1        00001080        gdi32.dll        0000        SetMapMode
1        00001084        gdi32.dll        0000        SelectObject

FThunk: 0000108C        NbFunc: 00000039
1        0000108C        kernel32.dll        0000        GetCurrentThreadId
1        00001090        kernel32.dll        0000        GetTickCount
1        00001094        kernel32.dll        0000        QueryPerformanceCounter
1        00001098        kernel32.dll        0000        GetLocalTime
1        0000109C        kernel32.dll        0000        GetUserDefaultLCID
1        000010A0        kernel32.dll        0000        GetDateFormatW
1        000010A4        kernel32.dll        0000        GetTimeFormatW
1        000010A8        kernel32.dll        0000        GlobalLock
1        000010AC        kernel32.dll        0000        GlobalUnlock
1        000010B0        kernel32.dll        0000        GetFileInformationByHandle
1        000010B4        kernel32.dll        0000        CreateFileMappingW
1        000010B8        kernel32.dll        0000        GetSystemTimeAsFileTime
1        000010BC        kernel32.dll        0000        TerminateProcess
1        000010C0        kernel32.dll        0000        GetCurrentProcess
1        000010C4        kernel32.dll        0000        SetUnhandledExceptionFilter
1        000010C8        kernel32.dll        0000        LoadLibraryA
1        000010CC        kernel32.dll        0000        GetModuleHandleA
1        000010D0        kernel32.dll        0000        GetStartupInfoA
1        000010D4        kernel32.dll        0000        GlobalFree
1        000010D8        kernel32.dll        0000        GetLocaleInfoW
1        000010DC        kernel32.dll        0000        LocalFree
1        000010E0        kernel32.dll        0000        LocalAlloc
1        000010E4        kernel32.dll        0000        lstrlenW
1        000010E8        kernel32.dll        0000        LocalUnlock
1        000010EC        kernel32.dll        0000        CompareStringW
1        000010F0        kernel32.dll        0000        LocalLock
1        000010F4        kernel32.dll        0000        FoldStringW
1        000010F8        kernel32.dll        0000        CloseHandle
1        000010FC        kernel32.dll        0000        lstrcpyW
1        00001100        kernel32.dll        0000        ReadFile
1        00001104        kernel32.dll        0000        CreateFileW
1        00001108        kernel32.dll        0000        lstrcmpiW
1        0000110C        kernel32.dll        0000        GetCurrentProcessId
1        00001110        kernel32.dll        0000        GetProcAddress
1        00001114        kernel32.dll        0000        GetCommandLineW
1        00001118        kernel32.dll        0000        lstrcatW
1        0000111C        kernel32.dll        0000        FindClose
1        00001120        kernel32.dll        0000        FindFirstFileW
1        00001124        kernel32.dll        0000        GetFileAttributesW
1        00001128        kernel32.dll        0000        lstrcmpW
1        0000112C        kernel32.dll        0000        MulDiv
1        00001130        kernel32.dll        0000        lstrcpynW
1        00001134        kernel32.dll        0000        LocalSize
1        00001138        kernel32.dll        0000        GetLastError
1        0000113C        kernel32.dll        0000        WriteFile
1        00001140        kernel32.dll        0000        SetLastError
1        00001144        kernel32.dll        0000        WideCharToMultiByte
1        00001148        kernel32.dll        0000        LocalReAlloc
1        0000114C        kernel32.dll        0000        FormatMessageW
1        00001150        kernel32.dll        0000        GetUserDefaultUILanguage
1        00001154        kernel32.dll        0000        SetEndOfFile
1        00001158        kernel32.dll        0000        DeleteFileW
1        0000115C        kernel32.dll        0000        GetACP
1        00001160        kernel32.dll        0000        UnmapViewOfFile
1        00001164        kernel32.dll        0000        MultiByteToWideChar
1        00001168        kernel32.dll        0000        MapViewOfFile
1        0000116C        kernel32.dll        0000        UnhandledExceptionFilter

FThunk: 00001174        NbFunc: 00000004
1        00001174        shell32.dll        0000        DragFinish
1        00001178        shell32.dll        0000        DragQueryFileW
1        0000117C        shell32.dll        0000        DragAcceptFiles
1        00001180        shell32.dll        0000        ShellAboutW

FThunk: 00001188        NbFunc: 0000004A
1        00001188        user32.dll        0000        GetClientRect
1        0000118C        user32.dll        0000        SetCursor
1        00001190        user32.dll        0000        ReleaseDC
1        00001194        user32.dll        0000        GetDC
1        00001198        user32.dll        0000        DialogBoxParamW
1        0000119C        user32.dll        0000        SetActiveWindow
1        000011A0        user32.dll        0000        GetKeyboardLayout
1        000011A4        user32.dll        0000        DefWindowProcW
1        000011A8        user32.dll        0000        DestroyWindow
1        000011AC        user32.dll        0000        MessageBeep
1        000011B0        user32.dll        0000        ShowWindow
1        000011B4        user32.dll        0000        GetForegroundWindow
1        000011B8        user32.dll        0000        IsIconic
1        000011BC        user32.dll        0000        GetWindowPlacement
1        000011C0        user32.dll        0000        CharUpperW
1        000011C4        user32.dll        0000        LoadStringW
1        000011C8        user32.dll        0000        LoadAcceleratorsW
1        000011CC        user32.dll        0000        GetSystemMenu
1        000011D0        user32.dll        0000        RegisterClassExW
1        000011D4        user32.dll        0000        LoadImageW
1        000011D8        user32.dll        0000        LoadCursorW
1        000011DC        user32.dll        0000        SetWindowPlacement
1        000011E0        user32.dll        0000        CreateWindowExW
1        000011E4        user32.dll        0000        GetDesktopWindow
1        000011E8        user32.dll        0000        GetFocus
1        000011EC        user32.dll        0000        LoadIconW
1        000011F0        user32.dll        0000        SetWindowTextW
1        000011F4        user32.dll        0000        PostQuitMessage
1        000011F8        user32.dll        0000        RegisterClipboardFormatW
1        000011FC        user32.dll        0000        UpdateWindow
1        00001200        user32.dll        0000        SetScrollPos
1        00001204        user32.dll        0000        CharLowerW
1        00001208        user32.dll        0000        PeekMessageW
1        0000120C        user32.dll        0000        EnableWindow
1        00001210        user32.dll        0000        DrawTextExW
1        00001214        user32.dll        0000        CreateDialogParamW
1        00001218        user32.dll        0000        GetWindowTextW
1        0000121C        user32.dll        0000        GetSystemMetrics
1        00001220        user32.dll        0000        MoveWindow
1        00001224        user32.dll        0000        InvalidateRect
1        00001228        user32.dll        0000        WinHelpW
1        0000122C        user32.dll        0000        GetDlgCtrlID
1        00001230        user32.dll        0000        ChildWindowFromPoint
1        00001234        user32.dll        0000        ScreenToClient
1        00001238        user32.dll        0000        GetCursorPos
1        0000123C        user32.dll        0000        SendDlgItemMessageW
1        00001240        user32.dll        0000        SendMessageW
1        00001244        user32.dll        0000        CharNextW
1        00001248        user32.dll        0000        CheckMenuItem
1        0000124C        user32.dll        0000        CloseClipboard
1        00001250        user32.dll        0000        IsClipboardFormatAvailable
1        00001254        user32.dll        0000        OpenClipboard
1        00001258        user32.dll        0000        GetMenuState
1        0000125C        user32.dll        0000        EnableMenuItem
1        00001260        user32.dll        0000        GetSubMenu
1        00001264        user32.dll        0000        GetMenu
1        00001268        user32.dll        0000        MessageBoxW
1        0000126C        user32.dll        0000        SetWindowLongW
1        00001270        user32.dll        0000        GetWindowLongW
1        00001274        user32.dll        0000        GetDlgItem
1        00001278        user32.dll        0000        SetFocus
1        0000127C        user32.dll        0000        SetDlgItemTextW
1        00001280        user32.dll        0000        wsprintfW
1        00001284        user32.dll        0000        GetDlgItemTextW
1        00001288        user32.dll        0000        EndDialog
1        0000128C        user32.dll        0000        GetParent
1        00001290        user32.dll        0000        UnhookWinEvent
1        00001294        user32.dll        0000        DispatchMessageW
1        00001298        user32.dll        0000        TranslateMessage
1        0000129C        user32.dll        0000        TranslateAcceleratorW
1        000012A0        user32.dll        0000        IsDialogMessageW
1        000012A4        user32.dll        0000        PostMessageW
1        000012A8        user32.dll        0000        GetMessageW
1        000012AC        user32.dll        0000        SetWinEventHook

FThunk: 000012B4        NbFunc: 00000003
1        000012B4        winspool.drv        0000        GetPrinterDriverW
1        000012B8        winspool.drv        0000        ClosePrinter
1        000012BC        winspool.drv        0000        OpenPrinterW

FThunk: 000012C4        NbFunc: 00000009
1        000012C4        comdlg32.dll        0000        PageSetupDlgW
1        000012C8        comdlg32.dll        0000        FindTextW
1        000012CC        comdlg32.dll        0000        PrintDlgExW
1        000012D0        comdlg32.dll        0000        ChooseFontW
1        000012D4        comdlg32.dll        0000        GetFileTitleW
1        000012D8        comdlg32.dll        0000        GetOpenFileNameW
1        000012DC        comdlg32.dll        0000        ReplaceTextW
1        000012E0        comdlg32.dll        0000        CommDlgExtendedError
1        000012E4        comdlg32.dll        0000        GetSaveFileNameW

FThunk: 000012EC        NbFunc: 00000016
1        000012EC        msvcrt.dll        0000        _XcptFilter
1        000012F0        msvcrt.dll        0000        _exit
1        000012F4        msvcrt.dll        0000        _c_exit
1        000012F8        msvcrt.dll        0000        time
1        000012FC        msvcrt.dll        0000        localtime
1        00001300        msvcrt.dll        0000        _cexit
1        00001304        msvcrt.dll        0000        iswctype
1        00001308        msvcrt.dll        0000        _except_handler3
1        0000130C        msvcrt.dll        0000        _wtol
1        00001310        msvcrt.dll        0000        wcsncmp
1        00001314        msvcrt.dll        0000        _snwprintf
1        00001318        msvcrt.dll        0000        exit
1        0000131C        msvcrt.dll        0000        _acmdln
1        00001320        msvcrt.dll        0000        __getmainargs
1        00001324        msvcrt.dll        0000        _initterm
1        00001328        msvcrt.dll        0000        __setusermatherr
1        0000132C        msvcrt.dll        0000        _adjust_fdiv
1        00001330        msvcrt.dll        0000        __p__commode
1        00001334        msvcrt.dll        0000        __p__fmode
1        00001338        msvcrt.dll        0000        __set_app_type
1        0000133C        msvcrt.dll        0000        _controlfp
1        00001340        msvcrt.dll        0000        wcsncpy
2007-3-3 16:49
0
ruyi
雪    币: 191
活跃值: (73)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
17
用找出来的这个表格修复文件,一直修复不好!

上帝保佑。。。
2007-3-3 16:50
0
hbqjxhw
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
18
1、记下异常地址;
2、重新开始OD,到记下异常地址行清零;
3、运行脚本;
4、脚本结束后,手工补上异常地址函数;
5、其他异常同上处理。

前3步我已经搞定。就是
第4部:手工补上异常地址函数
这个如何补。

“01001268  01038779  NOTEPAD1.01038779------->这个异常”
可以参考未加壳NOTEPAD函数。(注:假如没有未加壳的软件,这个函数如何处理,每次单步跟踪就OVER了,用脚本又挂了,这该如何解决啊)
2007-3-4 12:28
0
hbqjxhw
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
19
1        00001264        user32.dll        012D        GetMenu
1        00001268        user32.dll        01E4        MessageBoxW
1        0000126C        user32.dll        0282        SetWindowLongW
参考我知道,我想要的是如何可以跟踪出这个函数。
假如不是windows的记事本这个程序呢?
哪这个函数又如何参考呢?
第4部:(如何跟踪程序)补上异常地址函数,这个详细步骤是怎样跟踪的?
2007-3-4 12:45
0
hbqjxhw
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
20
ImportREC的execryptor插件,这个能否修复上面的函数
2007-3-4 13:30
0
hbqjxhw
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
21
能否加我
2007-3-4 13:58
0
小顽童
雪    币: 233
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
学习了马大哥及其他高手的关于execryptor教程,但还是不得要领,请大家帮我看一下这个壳好么

我先运行脚本Bypass AntiDBG OEP 停在b8 35000000处 脚本不能运行,于是我ALT+B清除断点,ALT+M在CODE区段401000下F2 ->f9

用LORDPE 查看原来的IDATA,在数据窗口ctrl+g:70e000,alt+M再次下断,F9运行

   到这里没有出现注册界面,而是出现"detect clock mainpulation"提示框后就又自动回到 C3 RETN界面了,请教大家问题出现在什么地方了呢?谢谢!
2007-4-6 08:22
0
小顽童
雪    币: 233
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
谢谢马大哥的指点,我是刚入门的菜鸟,多多向您学习,谢谢了!关于人OEP还是有些不算太明白,请指教好么?谢谢!
2007-4-6 18:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》