[原创]EXECryptor Unpackme-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]EXECryptor Unpackme

发表于: 2007-3-3 22:52 10600

[原创]EXECryptor Unpackme

happytown

2007-3-3 22:52

10600

要求：
成功脱壳后写出详细的脱壳教程即可。

唉，最近在学习脱壳，所以.....

[课程]Android-CTF解题方法汇总！

上传的附件：

unpackme.rar （302.48kb，99次下载）

收藏・0

免费・0

支持

最新回复 (33) 1 2 ▶
疯狂菜鸟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 48 回帖 410 粉丝 0 关注私信	疯狂菜鸟 2 楼最初由 happytown* 发布* 要求：成功脱壳后写出详细的脱壳教程即可。唉，最近在学习脱壳，所以..... 强烈支持我也在学脱这个壳另外请问下 2.2.4的版本那里下？主页没这个版本？我想自己加记事本练都不行？另外问下是全保护么？ 2007-3-3 22:59 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 0 关注私信	sbright 2 3 楼我想happy大侠应该是轻松脱掉后才放上来的吧 2007-3-3 23:14 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 4 楼 goole之；不是全保护，全保护会导致程序自身出错。 2007-3-3 23:15 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 5 楼等教程，~~ 2007-3-3 23:16 0
疯狂菜鸟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 48 回帖 410 粉丝 0 关注私信	疯狂菜鸟 6 楼 OEP脚本都跑不起来等教程没办法了 2007-3-4 00:00 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 7 楼最初由 machenglin* 发布* 压缩错误？！没，能正常解压！！ 2007-3-4 00:13 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 8 楼我这里有一个英文的教程，作者是upx.com.cn的主人？大家可以看看，我的英文真不怎么样，这份资料看到一半看不下去了。唉！！上传的附件： execryptor 2.2.4 (unpacking).rar （8.15kb，47次下载） 2007-3-4 00:34 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 9 楼其实我觉得自己分析也挺有意思的，虽然我分析UPX已经用了一星期了，还没有搞定，可是感觉还不错 2007-3-4 00:50 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 10 楼 _-_ 我刚测的是 3F8，晕！ 2007-3-4 01:41 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 11 楼最初由 ruyi* 发布* 我这里有一个英文的教程，作者是upx.com.cn的主人？大家可以看看，我的英文真不怎么样，这份资料看到一半看不下去了。唉！！我没有找到该教程里面的软件diProtector v1.0。 2007-3-4 01:42 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 12 楼最初由 machenglin* 发布* 测试了一下,绑定导入还需要解决。典型的Microsoft Visual C++ 6.0，OEP参考VC++可修复。 OEP=00401E73 ........ 厉害！希望到时能看到你的详细分析教程。 2007-3-4 01:45 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 13 楼最初由 happytown* 发布* 我没有找到该教程里面的软件diProtector v1.0。我也没有，他说 google it ？我结果没找到。 OEP修复还是搞不懂，happytown你这个程序是VC6编译的对吧？ IAT我看了马兄前几个教程，然后配合手上的工具多少也可以找到了。上传的附件： iat.rar （2.38kb，11次下载） 2007-3-4 01:53 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 14 楼老马兄捏这个壳犹如捏死一只蚂蚁一般，像我这种菜鸟是搞不定的了, 上传的附件： a.rar （465.60kb，9次下载） 2007-3-4 01:55 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 15 楼我iat修复不完整不过已经能够在本机运行运行修复程序OK 但是出现提示文破坏！ NND 直接清tls为0 屁事没了瞎玩下 2007-3-4 01:55 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 16 楼最初由 ruyi* 发布* 我也没有，他说 google it ？我结果没找到。 OEP修复还是搞不懂，happytown你这个程序是VC6编译的对吧？ IAT我看了马兄前几个教程，然后配合手上的工具多少也可以找到了。是VC6，你怎样弄出IAT表的下面这种格式？ Target: OEP: 00401E73 IATRVA: 00004000 IATSize: 00001000 FThunk: 00013000 NbFunc: 00000004 1 00013000 advapi32.dll 0000 RegSetValueExA 1 00013004 advapi32.dll 0000 RegCloseKey 1 00013008 advapi32.dll 0000 RegOpenKeyExA 1 0001300C advapi32.dll 0000 RegCreateKeyExA FThunk: 00013014 NbFunc: 00000001 1 00013014 comctl32.dll 0000 InitCommonControls 2007-3-4 02:01 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 17 楼把方法写出来如何啊？ 2007-3-4 02:02 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 18 楼 to happytown imp有这个功能保存列表树 2007-3-4 02:08 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 19 楼最初由 happytown* 发布* 是VC6，你怎样弄出IAT表的下面这种格式？ Target: OEP: 00401E73 IATRVA: 00004000 IATSize: 00001000 FThunk: 00013000 NbFunc: 00000004 ........ 是这样的，我手上有一个插件是ap0x写的叫做 RL!Weasle 我下了0.7，然后用他的unpacker SDK v3 中的文件替换了 RL!Weasle 带的几个DLL，就可以了。这样做可以多找出一些函数来。利用这个插件有一个好处，跑完 Bypass AntiDBG OEP 脚本就能找出IAT的开始位置和大概的结束位置。准确的IAT结束位置我的找法找最后一个 winspool.drv 而后+1 在这里我设置的是 000133D4 。 2007-3-4 02:12 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 20 楼最初由 wzmooo* 发布* to happytown imp有这个功能保存列表树 Thanks! 2007-3-4 02:15 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 21 楼 OPE替换是怎么来的？TLS清零又是怎么来的，可以说一下吗？ 2007-3-4 02:15 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 22 楼 oep替换一般没必要拉替换的话从一个标准的vc程序复制但是要修改两个值以前有文章讲过自己搜索下 tls用pe工具就可以了在目录里面修改后保存不知道对不对还是高手来讲吧 2007-3-4 02:22 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 23 楼最初由 wzmooo* 发布* tls用pe工具就可以了在目录里面修改后保存不知道对不对还是高手来讲吧好像就是这样。 2007-3-4 02:23 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 24 楼最初由 ruyi* 发布* unpacker SDK v3 还是v1.3? 2007-3-4 02:25 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 25 楼 RL!Weasle 貌似不错还没用过 2007-3-4 02:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

happytown

132

发帖

1022

回帖

1250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
疯狂菜鸟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 48 回帖 410 粉丝 0 关注私信	疯狂菜鸟 2 楼最初由 happytown* 发布* 要求：成功脱壳后写出详细的脱壳教程即可。唉，最近在学习脱壳，所以..... 强烈支持我也在学脱这个壳另外请问下 2.2.4的版本那里下？主页没这个版本？我想自己加记事本练都不行？另外问下是全保护么？ 2007-3-3 22:59 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 0 关注私信	sbright 2 3 楼我想happy大侠应该是轻松脱掉后才放上来的吧 2007-3-3 23:14 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 4 楼 goole之；不是全保护，全保护会导致程序自身出错。 2007-3-3 23:15 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 5 楼等教程，~~ 2007-3-3 23:16 0
疯狂菜鸟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 48 回帖 410 粉丝 0 关注私信	疯狂菜鸟 6 楼 OEP脚本都跑不起来等教程没办法了 2007-3-4 00:00 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 7 楼最初由 machenglin* 发布* 压缩错误？！没，能正常解压！！ 2007-3-4 00:13 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 8 楼我这里有一个英文的教程，作者是upx.com.cn的主人？大家可以看看，我的英文真不怎么样，这份资料看到一半看不下去了。唉！！上传的附件： execryptor 2.2.4 (unpacking).rar （8.15kb，47次下载） 2007-3-4 00:34 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 9 楼其实我觉得自己分析也挺有意思的，虽然我分析UPX已经用了一星期了，还没有搞定，可是感觉还不错 2007-3-4 00:50 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 10 楼 _-_ 我刚测的是 3F8，晕！ 2007-3-4 01:41 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 11 楼最初由 ruyi* 发布* 我这里有一个英文的教程，作者是upx.com.cn的主人？大家可以看看，我的英文真不怎么样，这份资料看到一半看不下去了。唉！！我没有找到该教程里面的软件diProtector v1.0。 2007-3-4 01:42 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 12 楼最初由 machenglin* 发布* 测试了一下,绑定导入还需要解决。典型的Microsoft Visual C++ 6.0，OEP参考VC++可修复。 OEP=00401E73 ........ 厉害！希望到时能看到你的详细分析教程。 2007-3-4 01:45 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 13 楼最初由 happytown* 发布* 我没有找到该教程里面的软件diProtector v1.0。我也没有，他说 google it ？我结果没找到。 OEP修复还是搞不懂，happytown你这个程序是VC6编译的对吧？ IAT我看了马兄前几个教程，然后配合手上的工具多少也可以找到了。上传的附件： iat.rar （2.38kb，11次下载） 2007-3-4 01:53 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 14 楼老马兄捏这个壳犹如捏死一只蚂蚁一般，像我这种菜鸟是搞不定的了, 上传的附件： a.rar （465.60kb，9次下载） 2007-3-4 01:55 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 15 楼我iat修复不完整不过已经能够在本机运行运行修复程序OK 但是出现提示文破坏！ NND 直接清tls为0 屁事没了瞎玩下 2007-3-4 01:55 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 16 楼最初由 ruyi* 发布* 我也没有，他说 google it ？我结果没找到。 OEP修复还是搞不懂，happytown你这个程序是VC6编译的对吧？ IAT我看了马兄前几个教程，然后配合手上的工具多少也可以找到了。是VC6，你怎样弄出IAT表的下面这种格式？ Target: OEP: 00401E73 IATRVA: 00004000 IATSize: 00001000 FThunk: 00013000 NbFunc: 00000004 1 00013000 advapi32.dll 0000 RegSetValueExA 1 00013004 advapi32.dll 0000 RegCloseKey 1 00013008 advapi32.dll 0000 RegOpenKeyExA 1 0001300C advapi32.dll 0000 RegCreateKeyExA FThunk: 00013014 NbFunc: 00000001 1 00013014 comctl32.dll 0000 InitCommonControls 2007-3-4 02:01 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 17 楼把方法写出来如何啊？ 2007-3-4 02:02 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 18 楼 to happytown imp有这个功能保存列表树 2007-3-4 02:08 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 19 楼最初由 happytown* 发布* 是VC6，你怎样弄出IAT表的下面这种格式？ Target: OEP: 00401E73 IATRVA: 00004000 IATSize: 00001000 FThunk: 00013000 NbFunc: 00000004 ........ 是这样的，我手上有一个插件是ap0x写的叫做 RL!Weasle 我下了0.7，然后用他的unpacker SDK v3 中的文件替换了 RL!Weasle 带的几个DLL，就可以了。这样做可以多找出一些函数来。利用这个插件有一个好处，跑完 Bypass AntiDBG OEP 脚本就能找出IAT的开始位置和大概的结束位置。准确的IAT结束位置我的找法找最后一个 winspool.drv 而后+1 在这里我设置的是 000133D4 。 2007-3-4 02:12 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 20 楼最初由 wzmooo* 发布* to happytown imp有这个功能保存列表树 Thanks! 2007-3-4 02:15 0
ruyi 雪币： 191 活跃值： (58) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 127 粉丝 2 关注私信	ruyi 1 21 楼 OPE替换是怎么来的？TLS清零又是怎么来的，可以说一下吗？ 2007-3-4 02:15 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 22 楼 oep替换一般没必要拉替换的话从一个标准的vc程序复制但是要修改两个值以前有文章讲过自己搜索下 tls用pe工具就可以了在目录里面修改后保存不知道对不对还是高手来讲吧 2007-3-4 02:22 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 23 楼最初由 wzmooo* 发布* tls用pe工具就可以了在目录里面修改后保存不知道对不对还是高手来讲吧好像就是这样。 2007-3-4 02:23 0
happytown 雪币： 721 活跃值： (350) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 132 回帖 1022 粉丝 1 关注私信	happytown 31 24 楼最初由 ruyi* 发布* unpacker SDK v3 还是v1.3? 2007-3-4 02:25 0
wzmooo 雪币： 10500 活跃值： (2159) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 494 粉丝 1 关注私信	wzmooo 25 楼 RL!Weasle 貌似不错还没用过 2007-3-4 02:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复