首页
社区
课程
招聘
[求助]这种壳怎么个脱法
发表于: 2007-5-8 01:41 7982

[求助]这种壳怎么个脱法

2007-5-8 01:41
7982
nSpack V2.9 - LiuXingPing
表面只有这个壳但是脱掉后就什么壳都查不到
然后深度扫描到是
ACProtect v1.41 -> Risco Software Inc. *

核心又是
nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping

希望大虾赐教
http://www.lookaya.com/crackme.rar下载的地址 已经修复好了

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (14)
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
文件下不了。
2007-5-8 08:46
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
插件 0.15 看看是什么版本的
2007-5-8 16:36
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
下载地址修复了
2007-5-8 20:13
0
雪    币: 295
活跃值: (346)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
5
就一层壳, ESP定律秒脱,
   IMAGEBASE: 30820000
   OEP: 0DD5D8 (308FD5D8)
   IAT: 0F0190 - F096C
Import 修复后可运行

应该是DELPH的程序
  入口和一些子程序有代码变形, 变形的代码都在 30F0C000-30F0D0E0 之间,有花指令, 要完美修复, 那可是一体力活, 要累死人的.

举一例子:

308FD5D8   /E9 23EA6000     JMP crackme.30F0C000         // OEP,

30F0C000    55              PUSH EBP        //  原来的 push ebp, 位置移动
30F0C001    03EF            ADD EBP,EDI
30F0C003    2E:EB 01        JMP SHORT crackme.30F0C007               ; Superfluous prefix

30F0C007   /EB 01           JMP SHORT crackme.30F0C00A

30F0C00A    C1D5 C9         RCL EBP,0C9                              ; Shift constant out of range 1..31
30F0C00D    C1DD C5         RCR EBP,0C5                              ; Shift constant out of range 1..31
30F0C010    81ED 76601594   SUB EBP,94156076
30F0C016    8D6C0C 36       LEA EBP,DWORD PTR SS:[ESP+ECX+36]   // xxx1
30F0C01A    2BE9            SUB EBP,ECX                         // xxx2
30F0C01C    8D6C35 CA       LEA EBP,DWORD PTR SS:[EBP+ESI-36]   // xxx3
30F0C020    2BEE            SUB EBP,ESI                         // xxx4
30F0C022    E9 2C060000     JMP crackme.30F0C653

xxx1-xxx4 是  mov ebp, esp  的代码变形, xxx1 前的是垃圾指令
2007-5-9 03:14
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我就是ESP定律脱的脱后不需要修复可以运行但是深入扫描还是有壳
2007-5-9 12:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我见过一款网络游戏的壳挺厉害的,反OD,反目前所用的调试器,用SPY++取消息时,如果定制取的消息的类型就会取不正常,而不定制是可以取出来的。用查壳工具查不出是什么壳。
    那游戏的执行文件是m*.exe,(*为一字母,怕麻烦就不说明了 )
2007-5-9 13:02
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
分辨有没有壳还不简单,你试一下修改一个位置,看看能不能保存就知道了
能保存的话,就是说已经没有壳了, PEID 说有壳,说不定是还没脱干净
2007-5-9 20:52
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
my.exe?梦幻西游?
2007-5-11 16:59
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
等待结果。。。。
2007-5-13 02:06
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
梦幻的壳就是themida的,估计是1.8.5.5,你说的那个出错估计的od的浮点溢出,脱壳不困难.虚拟机也很简单,问题是它几乎所有的vm代码都经过多态变形,我反过一段时间,简直是体力活.没继续下去.
2007-5-13 10:17
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
下了,看看,,
2007-5-14 15:33
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
下了,看看,,
2007-5-17 19:21
0
雪    币: 200
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
不管是什么壳,有多少脱多少。管他那么多,首先ESP跟一下不就知道了
2007-5-18 15:26
0
雪    币: 188
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
真的是猛啊.
2007-5-20 09:58
0
游客
登录 | 注册 方可回帖
返回
//