[求助]PE-Armor 0.46 -> China Cracking Group *脱壳之道-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 2 楼支持一下唉！我也是不知到IAT是不是加密了。应该怎么办？？ 2007-4-29 19:40 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 3 楼 http://bbs.pediy.com/showthread.php?t=11389 2007-4-29 22:21 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 4 楼手工脱是脱了，可是资源文件看不到。是不是那不对　　用OD查不到串参考　　郁闷 2007-5-7 16:12 0
ldian 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	ldian 5 楼好东西好东西 2007-5-7 16:17 0
ldian 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	ldian 6 楼好东西好东西好东西 2007-5-7 16:17 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 7 楼什么好东西啊！问题没解决啊！郁闷！！ 2007-5-8 11:22 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼把程序贴出来,我脱脱看 2007-5-8 11:53 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 9 楼楼上　，怎么给你啊　！ 2007-5-8 12:13 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 10 楼找个临时空间上传 2007-5-8 14:37 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 11 楼怎么给你啊！ 2007-5-9 09:45 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 12 楼用记事本作的实验上传的附件： notepadbyarmor.rar （34.30kb，10次下载） 2007-5-9 09:53 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 13 楼用OD载入程序，ALT+M，在代码断下断，取消断点下命令bp GetProcAddress, F9运行，中断后取消断点. 来到： 00361BE6 0BC0 or eax, eax ; kernel32.7C800000 00361BE8 75 07 jnz short 00361BF1 00361BEA 56 push esi 00361BEB FF95 AC020000 call dword ptr [ebp+2AC] 00361BF1 0FB64E FF movzx ecx, byte ptr [esi-1] 00361BF5 03F1 add esi, ecx 00361BF7 8BD6 mov edx, esi 00361BF9 8BF0 mov esi, eax 00361BFB 42 inc edx 00361BFC 8B0A mov ecx, dword ptr [edx] 00361BFE 83C2 04 add edx, 4 00361C01 51 push ecx 00361C02 0FB602 movzx eax, byte ptr [edx] 00361C05 0BC0 or eax, eax 00361C07 75 14 jnz short 00361C1D 00361C09 42 inc edx 00361C0A 52 push edx 00361C0B 8B02 mov eax, dword ptr [edx] 00361C0D 50 push eax 00361C0E 56 push esi 00361C0F FF95 A4020000 call dword ptr [ebp+2A4] 00361C15 8907 mov dword ptr [edi], eax 00361C17 5A pop edx 00361C18 83C2 04 add edx, 4 00361C1B EB 13 jmp short 00361C30 00361C1D 42 inc edx 00361C1E 52 push edx 00361C1F 52 push edx 00361C20 56 push esi 00361C21 FF95 A4020000 call dword ptr [ebp+2A4] 00361C27 8907 mov dword ptr [edi], eax 00361C29 5A pop edx 00361C2A 0FB642 FF movzx eax, byte ptr [edx-1] 00361C2E 03D0 add edx, eax 00361C30 42 inc edx 00361C31 83C7 04 add edi, 4 00361C34 59 pop ecx 00361C35 ^ E2 CA loopd short 00361C01 00361C37 ^ EB 93 jmp short 00361BCC 00361C39 8B85 BC020000 mov eax, dword ptr [ebp+2BC] 00361C3F 83F8 01 cmp eax, 1 00361C42 75 27 jnz short 00361C6B 00361C44 8BBD C4020000 mov edi, dword ptr [ebp+2C4] 00361C4A 03FD add edi, ebp 00361C4C 8DB5 4D020000 lea esi, dword ptr [ebp+24D] 00361C52 8B07 mov eax, dword ptr [edi] 00361C54 0BC0 or eax, eax 00361C56 75 02 jnz short 00361C5A 00361C58 EB 11 jmp short 00361C6B 00361C5A 25 FFFFFF7F and eax, 7FFFFFFF　　　　　在此处打补丁 00361C5F 8BDE mov ebx, esi 00361C61 2BD8 sub ebx, eax 00361C63 8958 FC mov dword ptr [eax-4], ebx 00361C66 83C7 08 add edi, 8　　　　　　　　补丁后返回这　　　　　　 00361C69 ^ EB E7 jmp short 00361C52 00361C6B 64:FF35 3000000>push dword ptr fs:[30] 00361C72 58 pop eax 00361C73 85C0 test eax, eax 00361C75 78 0F js short 00361C86 00361C77 8B40 0C mov eax, dword ptr [eax+C] 00361C7A 8B40 0C mov eax, dword ptr [eax+C] 00361C7D C740 20 0010000>mov dword ptr [eax+20], 1000 00361C84 EB 1C jmp short 00361CA2 00361C86 6A 00 push 0 00361C88 FF95 A8020000 call dword ptr [ebp+2A8] 00361C8E 85D2 test edx, edx 00361C90 79 10 jns short 00361CA2 00361C92 837A 08 FF cmp dword ptr [edx+8], -1 00361C96 75 0A jnz short 00361CA2 00361C98 8B52 04 mov edx, dword ptr [edx+4] 00361C9B C742 50 0010000>mov dword ptr [edx+50], 1000 00361CA2 89AD 58020000 mov dword ptr [ebp+258], ebp 00361CA8 8B85 C8020000 mov eax, dword ptr [ebp+2C8] 00361CAE 0385 B4020000 add eax, dword ptr [ebp+2B4] 00361CB4 FFE0 jmp eax　　　　　　　　　　　这里是OEP 00361CB6 50 push eax 00361CB7 8BC4 mov eax, esp 00361CB9 60 pushad 00361CBA 8BD8 mov ebx, eax 00361CBC E8 04000000 call 00361CC5 00361CC1 0000 add byte ptr [eax], al 00361CC3 0000 add byte ptr [eax], al 00361CC5 5D pop ebp 00361CC6 8B6D 00 mov ebp, dword ptr [ebp] 00361CC9 8B7B 04 mov edi, dword ptr [ebx+4] 00361CCC 8BB5 C4020000 mov esi, dword ptr [ebp+2C4] 00361CD2 03F5 add esi, ebp 00361CD4 8B06 mov eax, dword ptr [esi] 00361CD6 33D2 xor edx, edx 00361CD8 B9 02000000 mov ecx, 2 00361CDD F7E1 mul ecx 00361CDF D1E8 shr eax, 1 00361CE1 3BF8 cmp edi, eax 00361CE3 75 0A jnz short 00361CEF 00361CE5 0AD2 or dl, dl 00361CE7 75 04 jnz short 00361CED 00361CE9 EB 09 jmp short 00361CF4 00361CEB EB 02 jmp short 00361CEF 00361CED EB 10 jmp short 00361CFF 00361CEF 83C6 08 add esi, 8 00361CF2 ^ EB E0 jmp short 00361CD4 00361CF4 8B46 04 mov eax, dword ptr [esi+4] 00361CF7 8903 mov dword ptr [ebx], eax 补丁代码： 00384E00 807F 03 01 CMP BYTE PTR DS:[EDI+3],1////比较最高位是否为1。 00384E04 75 11 JNZ SHORT 00384E17 00384E06 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4]////正确的函数地址指针移入EBX。 00384E09 66:C740 FA FF15 MOV WORD PTR DS:[EAX-6],15FF 00384E0F 8958 FC MOV DWORD PTR DS:[EAX-4],EBX 00384E12 ^ E9 0AD7FFFF JMP 00361C66////跳回继续。 00384E17 25 FFFFFF7F AND EAX,7FFFFFFF////取消最高位。 00384E1C 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4] 00384E1F 66:C740 FA FF25 MOV WORD PTR DS:[EAX-6],25FF 00384E25 8958 FC MOV DWORD PTR DS:[EAX-4],EBX 00384E28 ^ E9 F4D6FFFF JMP 00361C66////跳回继续。 00384E2D 90 NOP 以上是简单的脱壳步骤 2007-5-9 10:08 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 14 楼脱壳后程序可以运行，用ｐｅｉｄ查看如下：但是但.RSS,.iData.....等等没有正确显示，所以看不到资源。不知道是脱的不对，还是应该怎么处理。上传的附件： 123.JPG （40.32kb，112次下载） 2007-5-9 10:17 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 15 楼那位大哥能帮主一下！！ 2007-5-9 10:51 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 16 楼 [QUOTE=csshrb;306892]脱壳后程序可以运行，用ｐｅｉｄ查看如下：但是但.RSS,.iData.....等等没有正确显示，所以看不到资源。不知道是脱的不对，还是应该怎么处理。 [/QUOTE] 如果仅仅是资源问题可以尝试freeres之类的工具有的时候是资源工具本身的问题,比如exescope似乎只认识资源段名字为:.rsrc的资源. 2007-5-9 13:01 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 17 楼不止是资源问题！用OD调试　使用插件超级字串查找　看不到字串。感觉还是脱壳有些问题只是搞不懂 2007-5-9 13:53 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 18 楼真苦啊看来只能自己研究了! 研究出来也不能和大家分享了!!哈等研究好了我头发都掉没了 2007-5-11 20:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (17)
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 2 楼支持一下唉！我也是不知到IAT是不是加密了。应该怎么办？？ 2007-4-29 19:40 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 3 楼 http://bbs.pediy.com/showthread.php?t=11389 2007-4-29 22:21 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 4 楼手工脱是脱了，可是资源文件看不到。是不是那不对　　用OD查不到串参考　　郁闷 2007-5-7 16:12 0
ldian 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	ldian 5 楼好东西好东西 2007-5-7 16:17 0
ldian 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	ldian 6 楼好东西好东西好东西 2007-5-7 16:17 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 7 楼什么好东西啊！问题没解决啊！郁闷！！ 2007-5-8 11:22 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼把程序贴出来,我脱脱看 2007-5-8 11:53 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 9 楼楼上　，怎么给你啊　！ 2007-5-8 12:13 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 10 楼找个临时空间上传 2007-5-8 14:37 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 11 楼怎么给你啊！ 2007-5-9 09:45 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 12 楼用记事本作的实验上传的附件： notepadbyarmor.rar （34.30kb，10次下载） 2007-5-9 09:53 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 13 楼用OD载入程序，ALT+M，在代码断下断，取消断点下命令bp GetProcAddress, F9运行，中断后取消断点. 来到： 00361BE6 0BC0 or eax, eax ; kernel32.7C800000 00361BE8 75 07 jnz short 00361BF1 00361BEA 56 push esi 00361BEB FF95 AC020000 call dword ptr [ebp+2AC] 00361BF1 0FB64E FF movzx ecx, byte ptr [esi-1] 00361BF5 03F1 add esi, ecx 00361BF7 8BD6 mov edx, esi 00361BF9 8BF0 mov esi, eax 00361BFB 42 inc edx 00361BFC 8B0A mov ecx, dword ptr [edx] 00361BFE 83C2 04 add edx, 4 00361C01 51 push ecx 00361C02 0FB602 movzx eax, byte ptr [edx] 00361C05 0BC0 or eax, eax 00361C07 75 14 jnz short 00361C1D 00361C09 42 inc edx 00361C0A 52 push edx 00361C0B 8B02 mov eax, dword ptr [edx] 00361C0D 50 push eax 00361C0E 56 push esi 00361C0F FF95 A4020000 call dword ptr [ebp+2A4] 00361C15 8907 mov dword ptr [edi], eax 00361C17 5A pop edx 00361C18 83C2 04 add edx, 4 00361C1B EB 13 jmp short 00361C30 00361C1D 42 inc edx 00361C1E 52 push edx 00361C1F 52 push edx 00361C20 56 push esi 00361C21 FF95 A4020000 call dword ptr [ebp+2A4] 00361C27 8907 mov dword ptr [edi], eax 00361C29 5A pop edx 00361C2A 0FB642 FF movzx eax, byte ptr [edx-1] 00361C2E 03D0 add edx, eax 00361C30 42 inc edx 00361C31 83C7 04 add edi, 4 00361C34 59 pop ecx 00361C35 ^ E2 CA loopd short 00361C01 00361C37 ^ EB 93 jmp short 00361BCC 00361C39 8B85 BC020000 mov eax, dword ptr [ebp+2BC] 00361C3F 83F8 01 cmp eax, 1 00361C42 75 27 jnz short 00361C6B 00361C44 8BBD C4020000 mov edi, dword ptr [ebp+2C4] 00361C4A 03FD add edi, ebp 00361C4C 8DB5 4D020000 lea esi, dword ptr [ebp+24D] 00361C52 8B07 mov eax, dword ptr [edi] 00361C54 0BC0 or eax, eax 00361C56 75 02 jnz short 00361C5A 00361C58 EB 11 jmp short 00361C6B 00361C5A 25 FFFFFF7F and eax, 7FFFFFFF　　　　　在此处打补丁 00361C5F 8BDE mov ebx, esi 00361C61 2BD8 sub ebx, eax 00361C63 8958 FC mov dword ptr [eax-4], ebx 00361C66 83C7 08 add edi, 8　　　　　　　　补丁后返回这　　　　　　 00361C69 ^ EB E7 jmp short 00361C52 00361C6B 64:FF35 3000000>push dword ptr fs:[30] 00361C72 58 pop eax 00361C73 85C0 test eax, eax 00361C75 78 0F js short 00361C86 00361C77 8B40 0C mov eax, dword ptr [eax+C] 00361C7A 8B40 0C mov eax, dword ptr [eax+C] 00361C7D C740 20 0010000>mov dword ptr [eax+20], 1000 00361C84 EB 1C jmp short 00361CA2 00361C86 6A 00 push 0 00361C88 FF95 A8020000 call dword ptr [ebp+2A8] 00361C8E 85D2 test edx, edx 00361C90 79 10 jns short 00361CA2 00361C92 837A 08 FF cmp dword ptr [edx+8], -1 00361C96 75 0A jnz short 00361CA2 00361C98 8B52 04 mov edx, dword ptr [edx+4] 00361C9B C742 50 0010000>mov dword ptr [edx+50], 1000 00361CA2 89AD 58020000 mov dword ptr [ebp+258], ebp 00361CA8 8B85 C8020000 mov eax, dword ptr [ebp+2C8] 00361CAE 0385 B4020000 add eax, dword ptr [ebp+2B4] 00361CB4 FFE0 jmp eax　　　　　　　　　　　这里是OEP 00361CB6 50 push eax 00361CB7 8BC4 mov eax, esp 00361CB9 60 pushad 00361CBA 8BD8 mov ebx, eax 00361CBC E8 04000000 call 00361CC5 00361CC1 0000 add byte ptr [eax], al 00361CC3 0000 add byte ptr [eax], al 00361CC5 5D pop ebp 00361CC6 8B6D 00 mov ebp, dword ptr [ebp] 00361CC9 8B7B 04 mov edi, dword ptr [ebx+4] 00361CCC 8BB5 C4020000 mov esi, dword ptr [ebp+2C4] 00361CD2 03F5 add esi, ebp 00361CD4 8B06 mov eax, dword ptr [esi] 00361CD6 33D2 xor edx, edx 00361CD8 B9 02000000 mov ecx, 2 00361CDD F7E1 mul ecx 00361CDF D1E8 shr eax, 1 00361CE1 3BF8 cmp edi, eax 00361CE3 75 0A jnz short 00361CEF 00361CE5 0AD2 or dl, dl 00361CE7 75 04 jnz short 00361CED 00361CE9 EB 09 jmp short 00361CF4 00361CEB EB 02 jmp short 00361CEF 00361CED EB 10 jmp short 00361CFF 00361CEF 83C6 08 add esi, 8 00361CF2 ^ EB E0 jmp short 00361CD4 00361CF4 8B46 04 mov eax, dword ptr [esi+4] 00361CF7 8903 mov dword ptr [ebx], eax 补丁代码： 00384E00 807F 03 01 CMP BYTE PTR DS:[EDI+3],1////比较最高位是否为1。 00384E04 75 11 JNZ SHORT 00384E17 00384E06 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4]////正确的函数地址指针移入EBX。 00384E09 66:C740 FA FF15 MOV WORD PTR DS:[EAX-6],15FF 00384E0F 8958 FC MOV DWORD PTR DS:[EAX-4],EBX 00384E12 ^ E9 0AD7FFFF JMP 00361C66////跳回继续。 00384E17 25 FFFFFF7F AND EAX,7FFFFFFF////取消最高位。 00384E1C 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4] 00384E1F 66:C740 FA FF25 MOV WORD PTR DS:[EAX-6],25FF 00384E25 8958 FC MOV DWORD PTR DS:[EAX-4],EBX 00384E28 ^ E9 F4D6FFFF JMP 00361C66////跳回继续。 00384E2D 90 NOP 以上是简单的脱壳步骤 2007-5-9 10:08 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 14 楼脱壳后程序可以运行，用ｐｅｉｄ查看如下：但是但.RSS,.iData.....等等没有正确显示，所以看不到资源。不知道是脱的不对，还是应该怎么处理。上传的附件： 123.JPG （40.32kb，112次下载） 2007-5-9 10:17 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 15 楼那位大哥能帮主一下！！ 2007-5-9 10:51 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 16 楼 [QUOTE=csshrb;306892]脱壳后程序可以运行，用ｐｅｉｄ查看如下：但是但.RSS,.iData.....等等没有正确显示，所以看不到资源。不知道是脱的不对，还是应该怎么处理。 [/QUOTE] 如果仅仅是资源问题可以尝试freeres之类的工具有的时候是资源工具本身的问题,比如exescope似乎只认识资源段名字为:.rsrc的资源. 2007-5-9 13:01 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 17 楼不止是资源问题！用OD调试　使用插件超级字串查找　看不到字串。感觉还是脱壳有些问题只是搞不懂 2007-5-9 13:53 0
csshrb 雪币： 188 活跃值： (32) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	csshrb 1 18 楼真苦啊看来只能自己研究了! 研究出来也不能和大家分享了!!哈等研究好了我头发都掉没了 2007-5-11 20:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复