Unpacking yP v1.01-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Unpacking yP v1.01

发表于: 2004-8-27 20:48 7652

Unpacking yP v1.01

cyclotron

2004-8-27 20:48

7652

Unpacking yP v1.01

不忽略INT3异常：

00450060 >PUSH EBP
00450061  MOV EBP,ESP
00450063  PUSH EBX
00450064  PUSH ESI
00450065  PUSH EDI
00450066  CALL yP.0045006E

77E9BCD3 >PUSH EBP
77E9BCD4  MOV EBP,ESP
77E9BCD6  SUB ESP,22C
77E9BCDC  PUSH EBX
77E9BCDD  PUSH ESI

00450636  CALL DWORD PTR DS:[EDX]
00450638  TEST EAX,EAX				；从这里出来
0045063A  JE SHORT yP.004506AA
0045063C  MOV EBX,DWORD PTR SS:[ESP+C]
00450641  JMP SHORT yP.00450646
00450643  LEA ECX,DWORD PTR DS:[ECX]
00450646  MOV EAX,DWORD PTR SS:[ESP+20]
0045064B  LEA ESI,DWORD PTR SS:[ESP+3C]
00450650  MOV EDI,ESI
00450652  PUSH ESI
00450653  PUSH EDI
00450654  CALL yP.00450E6C
00450659  ADD ESP,8
0045065C  PUSH EDI
0045065D  PUSH ESI
0045065E  CALL yP.00450EBC
00450663  ADD ESP,8
00450666  MOV ESI,EDI
00450668  MOV EDX,EBP
0045066A  ADD EDX,yP.0041FFF6
00450670  LEA EDI,DWORD PTR DS:[EDX]
00450672  MOV ECX,0D
00450677  XOR EDX,EDX
00450679  REPE CMPS BYTE PTR ES:[EDI],BYTE PTR DS:>
0045067B  JNZ SHORT yP.0045067F
0045067D  MOV EBX,EAX
0045067F  CMP EAX,DWORD PTR SS:[ESP+14]
00450684  JNZ SHORT yP.00450690
00450686  MOV EAX,DWORD PTR SS:[ESP+30]
0045068B  MOV DWORD PTR SS:[ESP+10],EAX
00450690  MOV EDX,DWORD PTR SS:[ESP+C]
00450695  LEA ECX,DWORD PTR SS:[ESP+18]
0045069A  PUSH ECX
0045069B  PUSH EDX
0045069C  MOV EDX,EBP
0045069E  ADD EDX,yP.0041FF62
004506A4  CALL DWORD PTR DS:[EDX]
004506A6  TEST EAX,EAX
004506A8  JNZ SHORT yP.00450646
004506AA  MOV EAX,DWORD PTR SS:[ESP+10]
004506AF  CMP EAX,EBX				；句柄比较
004506B1  JE SHORT yP.004506D3			；在这里让Z标志翻转
004506B3  PUSH EAX
004506B4  PUSH 1
004506B6  PUSH 1F0FFF
004506BB  MOV EDX,EBP
004506BD  ADD EDX,yP.0041FF95
004506C3  CALL DWORD PTR DS:[EDX]		；OpenProcess
004506C5  PUSH 0
004506C7  PUSH EAX
004506C8  MOV EDX,EBP
004506CA  ADD EDX,yP.0041FFAA
004506D0  CALL DWORD PTR DS:[EDX]		；TerminateProcess
004506D2  RETN					；永远不会走到这里

004511EF  XOR EAX,EAX
004511F1  MOV ECX,88
004511F6  MOV EDX,EBP
004511F8  ADD EDX,yP.00420030
004511FE  LEA EDI,DWORD PTR DS:[EDX]

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・7

支持

最新回复 (12)
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 2 楼强 2004-8-27 22:50 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼可以直接用ImportREC修复输入表的我就是用ImportREC汉化版修复的手动填入RVA和SIZE就行了 2004-8-27 23:04 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 4 楼第一次写脚本，不妥之处敬请指教:D //Script for yoda's Protector v1.01 //by cyclotron [BCG][DFCG][FCG][OCN] //收集IAT //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "LoadLibraryA","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code gpa "GetProcAddress","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code //━━━━━━━━━━━━━━━━━━━━━━━━━━━ bp 451599 run bc 451599 asm eip,"MOV DWORD PTR [EDX],EAX" add eip,2 bp eip run msg "IAT收集开始" pause 2004-8-27 23:59 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼 //Script for yoda's Protector v1.01 //by cyclotron [BCG][DFCG][FCG][OCN] //直取OEP //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ var cbase gmi eip,CODEBASE mov cbase,$RESULT var csize gmi eip,CODESIZE mov csize,$RESULT bprm cbase,csize //内存读断点 run bpmc pause 2004-8-28 00:00 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼最初由 fly 发布可以直接用ImportREC修复输入表的我就是用ImportREC汉化版修复的手动填入RVA和SIZE就行了 fly在哪里确定IAT的RVA和Size的？ 2004-8-28 00:01 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 7 楼 thanks for the excellent tut...:) 2004-8-28 00:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼最初由 cyclotron 发布 fly在哪里确定IAT的RVA和Size的？随便找个调用转存里就可以看见然后用追踪层次1就行了 2004-8-28 02:15 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 9 楼最初由 fly 发布随便找个调用转存里就可以看见然后用追踪层次1就行了到入口以后认不出来的还要多，不少13XXXX都认不出来，追踪层次1也没用…… 2004-8-28 10:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼这个只是改了一下跳转表填入RVA和Size 追踪层次1完全可以搞定 2004-8-28 13:01 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 11 楼高深 2004-10-2 23:18 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 12 楼最初由 cyclotron 发布 Unpacking yP v1.01 不忽略INT3异常： [code] ........ 支持!!! 2004-10-3 00:30 0
q3q3 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 230 粉丝 1 关注私信	q3q3 13 楼好贴:D 2004-10-3 08:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cyclotron

发帖

800

回帖

690

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
Sen 雪币： 221 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 275 粉丝 0 关注私信	Sen 1 2 楼强 2004-8-27 22:50 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼可以直接用ImportREC修复输入表的我就是用ImportREC汉化版修复的手动填入RVA和SIZE就行了 2004-8-27 23:04 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 4 楼第一次写脚本，不妥之处敬请指教:D //Script for yoda's Protector v1.01 //by cyclotron [BCG][DFCG][FCG][OCN] //收集IAT //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "LoadLibraryA","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code gpa "GetProcAddress","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code //━━━━━━━━━━━━━━━━━━━━━━━━━━━ bp 451599 run bc 451599 asm eip,"MOV DWORD PTR [EDX],EAX" add eip,2 bp eip run msg "IAT收集开始" pause 2004-8-27 23:59 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼 //Script for yoda's Protector v1.01 //by cyclotron [BCG][DFCG][FCG][OCN] //直取OEP //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ gpa "Process32Next","kernel32.dll" bp $RESULT run //F9 bc $RESULT //clear bp rtu //run to user code find eip,#3BC374# //cmp eax,ebx add $RESULT,2 //next instruction bp $RESULT run bc $RESULT mov !ZF,1 //置Z标志 //━━━━━━━━━━━━━━━━━━━━━━━━━━━ var cbase gmi eip,CODEBASE mov cbase,$RESULT var csize gmi eip,CODESIZE mov csize,$RESULT bprm cbase,csize //内存读断点 run bpmc pause 2004-8-28 00:00 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼最初由 fly 发布可以直接用ImportREC修复输入表的我就是用ImportREC汉化版修复的手动填入RVA和SIZE就行了 fly在哪里确定IAT的RVA和Size的？ 2004-8-28 00:01 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 7 楼 thanks for the excellent tut...:) 2004-8-28 00:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼最初由 cyclotron 发布 fly在哪里确定IAT的RVA和Size的？随便找个调用转存里就可以看见然后用追踪层次1就行了 2004-8-28 02:15 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 9 楼最初由 fly 发布随便找个调用转存里就可以看见然后用追踪层次1就行了到入口以后认不出来的还要多，不少13XXXX都认不出来，追踪层次1也没用…… 2004-8-28 10:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼这个只是改了一下跳转表填入RVA和Size 追踪层次1完全可以搞定 2004-8-28 13:01 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 11 楼高深 2004-10-2 23:18 0
linhanshi 雪币： 97697 活跃值： (200819) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27946 粉丝 452 关注私信	linhanshi 12 楼最初由 cyclotron 发布 Unpacking yP v1.01 不忽略INT3异常： [code] ........ 支持!!! 2004-10-3 00:30 0
q3q3 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 230 粉丝 1 关注私信	q3q3 13 楼好贴:D 2004-10-3 08:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复