首页
社区
课程
招聘
Acpr1.41-2.0_unpacker全自动脱壳脚本
发表于: 2007-3-26 12:28 17945

Acpr1.41-2.0_unpacker全自动脱壳脚本

2007-3-26 12:28
17945
Acpr1.41-2.0_unpacker全自动脱壳脚本

此脚本是在前人基础上改进而成,自动修复ITA和DUMP。
SORRY!这个脚本最初原作者是zpunpack,我只是在试验脚本编写过程中发现VolX大侠写的
Aspr2.XX_unpacker_v1.0SC.osc 脚本能自动DUMP文件,于是就进去挖掘了一下,发现关键
点,立即查看了hnhuqiong大侠的OllyScript中文说明.txt
=========================================================
DPE 文件名, 入口
----------------
<Dump Process with Entry point>
提取执行模块到指定文件中。
“入口”用来设定入口地址。
这个命令用来抓取文件,还是比较好用的,因为直接利用了OD强大的内存管理功能.
例:
dpe "c:\test.exe", eip //入口为当前地址,保存为C盘下test.exe
=========================================================
受启发后就实验了这句:dpe "\\已脱壳未修复IAT.exe", eip
发现脚本自动帮我们DUMP下来了,所以就索性拿Acprotect这个脚本改造了一下,并无技术含量
脚本编写我只是入门而已,还要向前辈们多学习才行。
=====================================================================

刚才经过skylly大侠的指点,修正了一下,如果遇到出错,请尝试重新运行一下
脚本!

=====================================================================
/*
Script written by ~icy~学习班
Script   : Acpr1.41-2.0_unpacker全自动脱壳
日期     : 2007-03-26
调试环境 : OllyDbg 1.1, ODBGScript 1.51, Winxp Win2003
调试选项 : 设置 OllyDbg 忽略所有异常选项
工具     : OllyDbg, ODBGScript 1.51, Import Reconstructor.
*/
//support ACprotect1.41-2.0  UltraProtect 1.x

var eipaddr1
var esiadd   
var ebxadd   
var cbase
var csize
var imgbase
var iatrva
var add1

GMI eip, MODULEBASE
cmp $RESULT,0
je lblabort
mov imgbase,$RESULT

gmi eip,CODEBASE                       //获得代码基地
cmp $RESULT,0
je lblabort
mov cbase,$RESULT
mov cbase,$RESULT
gmemi cbase,MEMORYsize
cmp $RESULT,0
je lblabort
mov csize,$RESULT
gpa "GetModuleHandleA","kernel32.dll"
cmp $RESULT,0
je lblabort
mov add1,$RESULT
bprm add1,ff
esto
bpmc
rtu
findop eip,#F3AA#                     //查找指定内容
cmp $RESULT,0
je lblabort   
repl $RESULT,#F3AA#,#9090#,2
bp $RESULT
run
bc $RESULT
sto
sto
sto
bprm add1,ff
esto
bpmc
rtu
mov eipaddr1,eip
mov eipaddr1,eipaddr1-30
mov esiadd,esi+0c
mov ebxadd,ebx-imgbase
mov [esiadd],ebxadd
mov iatrva,esi-imgbase
findop eipaddr1,#83660c00#           //地址中查找:and dword ptr ds:[esi+C],0
cmp $RESULT,0
je lblabort
repl $RESULT,#83660C00#,#90909090#,4
find eipaddr1,#2BC08803#             //内存中查找:sub eax,eax mov byte ptr ds:[ebx]
cmp $RESULT,0
je lblabort
repl $RESULT,#2BC08803#,#90909090#,4
find eipaddr1,#2BC08803#
cmp $RESULT,0
je lblabort
repl $RESULT,#2BC08803#,#90909090#,4
find eipaddr1,#80BD16564100007457#   //魔法跳
je lblabort
repl $RESULT,#80BD16564100007457#,#80BD1656410000eb57#,9 //jmp
find eipaddr1,#8DBD??????0033C0#
cmp $RESULT,0
je lblabort
bp $RESULT
esto
bc $RESULT
bpmc
bprm cbase,csize
esto
cmt eip,"传说中的光明之颠~OEP~"
dpe "\\已脱壳未修复IAT.exe", eip
eval "程序已脱壳请直接用ImportREC修复IAT"
msg $RESULT
ret

lblabort:
msg "脚本失败!"
ret





[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (56)
雪    币: 721
活跃值: (350)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
2
狂热支持。^^^^^^^^^
2007-3-26 13:02
0
雪    币: 10627
活跃值: (2324)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不错支持这个
2007-3-26 13:02
0
雪    币: 538
活跃值: (460)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
4
支持LZ!!
2007-3-26 13:05
0
雪    币: 97697
活跃值: (200834)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
5
sustain.
2007-3-26 13:15
0
雪    币: 333
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wan
6
支持,拿来试用一下
2007-3-26 13:27
0
雪    币: 260
活跃值: (81)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
支持!
2007-3-26 13:29
0
雪    币: 400
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
强烈支持。不错啊。
2007-3-26 14:28
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
9
dpe "\\已脱壳未修复IAT.exe", eip   // 和zpunpack兄的脚本就只多了这一句

上传的附件:
2007-3-26 14:30
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
好的东西、就是要顶
2007-3-26 14:40
0
雪    币: 170
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
刚才测试了一下老K的附件,只要出错后在重新运行一下脚本即可,奇怪~~~
已正常脱壳
上传的附件:
2007-3-26 14:43
0
雪    币: 888
活跃值: (2370)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12
支持楼主,谢谢分享
偶有空也去玩玩脚本。
2007-3-26 14:50
0
雪    币: 136
活跃值: (429)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
13
收一个备用,谢谢
2007-3-26 15:13
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
14
最初由 yzjsdn 发布
刚才测试了一下老K的附件,只要出错后在重新运行一下脚本即可,奇怪~~~
已正常脱壳


还是这样的
2007-3-26 15:31
0
雪    币: 170
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
刚才更新了一下脚本,或者你换个OD测试一下,我这开始也是你这情况,我CTRL+F2重新载入后在运行脚本就可以了,另外我的脚本插件版本是1.52的
2007-3-26 16:01
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
16
最初由 yzjsdn 发布
刚才更新了一下脚本,或者你换个OD测试一下,我这开始也是你这情况,我CTRL+F2重新载入后在运行脚本就可以了,另外我的脚本插件版本是1.52的


我插件全是最新的,OD是看雪的OllyICE

看来我还是只有自己手动脱壳的命了

支持!
2007-3-26 16:11
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
17
貌似没有我自己的acpr脚本好用,
上传的附件:
2007-3-26 16:12
0
雪    币: 170
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
或者用我在UNPACK发布的OD-ICY修改版试一下或者脚本插件版本用1.51,我前段时间测试1.52的时候出现过几次错误。另外skylly大侠说有更好的脚本就共享一下吧,期待~
http://www.unpack.cn/thread-11131-1-1.html
OD-ICY修改版(过强壳)

此版是在OllyDBG 1.1 汉化第三版基础上修改完成。(主文件 ICY.EXE)

修改了OllyDBG类标识,可以跳过某些软件检测OD;

升级HideOD到0.1.7.0,可以方便的调试THEMIDA、Winlicense、ExeCryptor、等强壳;

添加了一些实用插件和脚本。

内附(Linux新作)大家可以用这个检测程序试下你目前的OD:)
2007-3-26 16:52
0
雪    币: 333
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wan
19
最初由 skylly 发布
貌似没有我自己的acpr脚本好用,


也分享一个吧
2007-3-26 17:19
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
20
早就公开过了,
N久以前我贴过,
PS:我不是什么什么大侠,
2007-3-26 17:32
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
21
一般我是这样脱ACPR的 冒似通用。。

Alt+M 第一区段F2、F9
Alt+M 末尾区段F2、F9
Alt+M PE文件头F2、F9
Alt+M 第一区段F2、F9
到达OEP
OD插件脱壳
ImportRE修复完成

PS:这样就是修复有点烦而已
2007-3-26 18:36
0
雪    币: 405
活跃值: (10)
能力值: ( LV9,RANK:1130 )
在线值:
发帖
回帖
粉丝
22
测试测试。~~~~
2007-3-26 19:30
0
雪    币: 216
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
23
望尘莫及啊~~,只有用的份了
2007-3-26 22:14
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
24
最初由 KuNgBiM 发布
一般我是这样脱ACPR的 冒似通用。。

Alt+M 第一区段F2、F9
Alt+M 末尾区段F2、F9
Alt+M PE文件头F2、F9
........


初次见到,拿个实例说说噻,对我等菜鸟太重要了
2007-3-26 22:26
0
雪    币: 242
活跃值: (1664)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
25
真是爽啊...感谢分享
在脚本插件1.52下好象有点不是很稳定,我这里有时可以运行,有时就会出现老K那样的问题,在1.51下运行正常
上传的附件:
  • 2.jpg (64.96kb,126次下载)
2007-3-27 09:04
0
游客
登录 | 注册 方可回帖
返回
//