关于yoda's cryptor 1.x / modified...请求协助-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-18 12:54 2 楼 0 哪种方法好用就用哪种
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-8-18 19:07 3 楼 0 最初由 fly 发布哪种方法好用就用哪种谢谢版主阁下回应,弟只是想知道如何不用ESP定律也能找到正确OEP入口点,因为小弟总找到OEP:00401000,所以请大家帮忙,指导小弟关键点在哪里...谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-19 01:11 4 楼 0 看雪论坛精华4 标题:Manually UnPacking of Yoda's Crypter v1.0 (17千字) 发信人:?幻紫? 时间:2002-2-28 22:26:18
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-8-19 08:40 5 楼 0 到最终的页面故障在Seh handler中找到ro* edi, 7,步咿之后edi就是OEP
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-8-19 09:42 6 楼 0 最初由 forgot 发布 *到最终的页面故障在Seh handler中找到ro edi, 7,步过之后edi就是OEP** 先谢谢两位版主的回应,小弟试过单步调试及forgot版主说的"到最终的页面故障在Seh handler中找到ro* edi, 7,步过之后edi就是OEP"两种方式都找到错误的OEP,就是这样才觉奇怪,贴上求教文章,请见下两图: forgot版主: 单步调试:
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-8-19 09:46 7 楼 0 是不是里边还有一层壳?ASPR入口固定EP是401000
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-8-19 10:00 8 楼 0 好不容易下载完你的东西, 找到正确入口点之法: 1.设置OllyDbg不忽略内存访问违反 2.运行,Shift+F9来到一大片00的区域, Ctrl+G:[esp+4] 3.找到ro* edi, *, 在其后放一个断点, Shift+F9运行中断 4.Ctrl+G:edi, 下断, 运行后清除. 5.在cmd bar输入hr esp-4,狂按F9直到出现jmp eax 6.F7步咿来到真实入口
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-8-19 12:56 9 楼 0 最初由 forgot 发布好不容易下载完你的东西, 找到正确入口点之法: 1.设置OllyDbg不忽略内存访问违反 2.运行,Shift+F9来到一大片00的区域, Ctrl+G:[esp+4] 3.找到ro* edi, *, 在其后放一个断点, Shift+F9运行中断 4.Ctrl+G:edi, 下断, 运行后清除. 5.在cmd bar输入hr esp-4,狂按F9直到出现jmp eax 6.F7步过来到真实入口非常感谢,小弟再试试,谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-19 15:20 10 楼 0 看了一下这个东东是双层壳 yoda's cryptor + PECompact 2.X 主程序是 Delphi 可以直接用PECompact 2.X简便脱壳方法的第一种方法来搞定详细请参阅《PECompact V2.40 简便脱壳二法》 http://bbs.pediy.com/showthread.php?s=&threadid=3748 忽略所有异常选项下断：BP VirtualFree Shift+F9 中断后取消断点，Ctrl+F9两次，返回0062F816处 0062F816 8985 1C110010 mov dword ptr ss:[ebp+1000111C],eax; PCagent.004E9D5C 0062F81C 8BF0 mov esi,eax 0062F81E 59 pop ecx 0062F81F 5A pop edx 0062F820 03CA add ecx,edx 0062F822 68 00800000 push 8000 0062F827 6A 00 push 0 0062F829 57 push edi 0062F82A FF11 call dword ptr ds:[ecx] 0062F82C 8BC6 mov eax,esi 0062F82E 5E pop esi 0062F82F 5F pop edi 0062F830 59 pop ecx 0062F831 5B pop ebx 0062F832 5D pop ebp 0062F833 FFE0 jmp eax ; PCagent.004E9D5C //飞向光明之巅！ ^O^
lucktiger 雪币： 5188 活跃值： (2127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 260 粉丝 1 关注私信	lucktiger 2004-8-19 15:56 11 楼 0 最初由 forgot 发布 *到最终的页面故障在Seh handler中找到ro edi, 7,步咿之后edi就是OEP** 如果只加yoda's cryptor 1.x / modified，应该就是这样脱壳的吧。
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-8-20 20:45 12 楼 0 最初由 fly 发布看了一下这个东东是双层壳 yoda's cryptor + PECompact 2.X 忽略所有异常选项下断：BP VirtualFree Shift+F9 中断后取消断点，Ctrl+F9两次，返回0062F816处 0062F830 59 pop ecx 0062F831 5B pop ebx 0062F832 5D pop ebp 0062F833 FFE0 jmp eax ; PCagent.004E9D5C //飞向光明之巅！ ^O^ 谢谢两位版主协助,这程序确实加了双壳,小弟已经明白也学会该如何脱壳了! 再次感谢!!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (11)
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-18 12:54 2 楼 0 哪种方法好用就用哪种
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-8-18 19:07 3 楼 0 最初由 fly 发布哪种方法好用就用哪种谢谢版主阁下回应,弟只是想知道如何不用ESP定律也能找到正确OEP入口点,因为小弟总找到OEP:00401000,所以请大家帮忙,指导小弟关键点在哪里...谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-19 01:11 4 楼 0 看雪论坛精华4 标题:Manually UnPacking of Yoda's Crypter v1.0 (17千字) 发信人:?幻紫? 时间:2002-2-28 22:26:18
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-8-19 08:40 5 楼 0 到最终的页面故障在Seh handler中找到ro* edi, 7,步咿之后edi就是OEP
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-8-19 09:42 6 楼 0 最初由 forgot 发布 *到最终的页面故障在Seh handler中找到ro edi, 7,步过之后edi就是OEP** 先谢谢两位版主的回应,小弟试过单步调试及forgot版主说的"到最终的页面故障在Seh handler中找到ro* edi, 7,步过之后edi就是OEP"两种方式都找到错误的OEP,就是这样才觉奇怪,贴上求教文章,请见下两图: forgot版主: 单步调试:
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-8-19 09:46 7 楼 0 是不是里边还有一层壳?ASPR入口固定EP是401000
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-8-19 10:00 8 楼 0 好不容易下载完你的东西, 找到正确入口点之法: 1.设置OllyDbg不忽略内存访问违反 2.运行,Shift+F9来到一大片00的区域, Ctrl+G:[esp+4] 3.找到ro* edi, *, 在其后放一个断点, Shift+F9运行中断 4.Ctrl+G:edi, 下断, 运行后清除. 5.在cmd bar输入hr esp-4,狂按F9直到出现jmp eax 6.F7步咿来到真实入口
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-8-19 12:56 9 楼 0 最初由 forgot 发布好不容易下载完你的东西, 找到正确入口点之法: 1.设置OllyDbg不忽略内存访问违反 2.运行,Shift+F9来到一大片00的区域, Ctrl+G:[esp+4] 3.找到ro* edi, *, 在其后放一个断点, Shift+F9运行中断 4.Ctrl+G:edi, 下断, 运行后清除. 5.在cmd bar输入hr esp-4,狂按F9直到出现jmp eax 6.F7步过来到真实入口非常感谢,小弟再试试,谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-8-19 15:20 10 楼 0 看了一下这个东东是双层壳 yoda's cryptor + PECompact 2.X 主程序是 Delphi 可以直接用PECompact 2.X简便脱壳方法的第一种方法来搞定详细请参阅《PECompact V2.40 简便脱壳二法》 http://bbs.pediy.com/showthread.php?s=&threadid=3748 忽略所有异常选项下断：BP VirtualFree Shift+F9 中断后取消断点，Ctrl+F9两次，返回0062F816处 0062F816 8985 1C110010 mov dword ptr ss:[ebp+1000111C],eax; PCagent.004E9D5C 0062F81C 8BF0 mov esi,eax 0062F81E 59 pop ecx 0062F81F 5A pop edx 0062F820 03CA add ecx,edx 0062F822 68 00800000 push 8000 0062F827 6A 00 push 0 0062F829 57 push edi 0062F82A FF11 call dword ptr ds:[ecx] 0062F82C 8BC6 mov eax,esi 0062F82E 5E pop esi 0062F82F 5F pop edi 0062F830 59 pop ecx 0062F831 5B pop ebx 0062F832 5D pop ebp 0062F833 FFE0 jmp eax ; PCagent.004E9D5C //飞向光明之巅！ ^O^
lucktiger 雪币： 5188 活跃值： (2127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 260 粉丝 1 关注私信	lucktiger 2004-8-19 15:56 11 楼 0 最初由 forgot 发布 *到最终的页面故障在Seh handler中找到ro edi, 7,步咿之后edi就是OEP** 如果只加yoda's cryptor 1.x / modified，应该就是这样脱壳的吧。
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 2004-8-20 20:45 12 楼 0 最初由 fly 发布看了一下这个东东是双层壳 yoda's cryptor + PECompact 2.X 忽略所有异常选项下断：BP VirtualFree Shift+F9 中断后取消断点，Ctrl+F9两次，返回0062F816处 0062F830 59 pop ecx 0062F831 5B pop ebx 0062F832 5D pop ebp 0062F833 FFE0 jmp eax ; PCagent.004E9D5C //飞向光明之巅！ ^O^ 谢谢两位版主协助,这程序确实加了双壳,小弟已经明白也学会该如何脱壳了! 再次感谢!!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复