首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[原创]krypton0.2脱壳脚本
发表于: 2007-5-14 10:37 7352

[原创]krypton0.2脱壳脚本

skylly 活跃值
4
2007-5-14 10:37
7352
#log
//KRYPTON0.2 code by skylly
//msg "忽略所有异常" 修复输入表, 修复ff15 call, goto oep.
var oep
var codebase
var packerbase
var iidstart
var iidsize
gpa "VirtualAlloc","kernel32.dll"
cmp $RESULT,0
je err
find $RESULT,#C2??00#
cmp $RESULT,0
je err
bp $RESULT
esto
esto
bc $RESULT
mov packerbase,eax
go packerbase

//正式进入壳代码
find eip,#8B188B7E10#
cmp $RESULT,0
je err
bp $RESULT
esto
bc $RESULT
mov codebase,edx

find eip,#83BD????????007413#
cmp $RESULT,0
je err
add $RESULT,7
bp $RESULT
esto
bc $RESULT
mov [eip],#EB#    //不让它破坏函数名
mov iidstart,esi

find eip,#0F85????0000EB39#
cmp $RESULT,0
je err
mov [$RESULT],#90E9#   //magic jmp

bpwm packerbase,1
esto
bpmc

mov iidsize,esi
sub iidsize,iidstart
add iidsize,14    //还要一个空白iid收尾
sub iidstart,codebase

var patch
find eip,#FFE2#
cmp $RESULT,0
je err
add $RESULT,1
//在第二个jmp edx处跳OEP
find $RESULT,#FFE2#
cmp $RESULT,0
je err
var jmpoep
mov jmpoep,$RESULT
//在无用区域,写入对特殊call的补丁代码
mov patch,$RESULT
add patch,2
mov [patch],#E8000000005B81C3100900008B133BD0740583C30AEBF583C3048B13891083C00483C304668B13668910EBBD#

find eip,#895802#
cmp $RESULT,0
je err
mov [$RESULT],#EB1890#      //对特殊call作一个jmp 跳到补丁代码处

//跳OEP
bp jmpoep
esto
bc jmpoep
sti
mov oep,eip
sub oep,codebase
log oep
log iidstart
log iidsize
cmt eip,"OEP,直接dump,查看日志窗口,根据其中提示用loadpe修改dump下的文件"
ret
err:
msg "error"
ret

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (15)
SqRRRXyzA
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
看来应该逆向脚本,学习手动脱壳
2007-5-14 13:13
0
v大v
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
啥也不说,就是个支持
2007-5-14 14:00
0
mikeshmily
雪    币: 191
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
初学破解 过来看看。。。
2007-5-14 14:26
0
小娃崽
雪    币: 383
活跃值: (41)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
5
贴出来了?太好了,学习.不过脚本的还看不懂,呵呵
2007-5-14 19:17
0
csjwaman
雪    币: 319
活跃值: (2404)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
私信
6
这样脱出来的文件可能会有跨平台问题。
2007-5-15 00:09
0
Breeze乔
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
对于我们初学者很有帮助 谢谢楼主
2007-5-15 00:51
0
tzl
雪    币: 219
活跃值: (1634)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
8
收藏,感谢分享
2007-5-15 09:22
0
goldkiss
雪    币: 153
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
support
2007-5-15 09:46
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
10
讲下哪些环节会导致跨平台问题?谢谢
因为最近脱壳破解的程序只能在本机运行,换个同样WINXPSP2的就不行。
开始以为是补丁代码的原因,后来发现不是(仅脱壳然后IMPREC修复,无invalid,可本机运行)。

我只好做了个loader,但这样要汉化就麻烦了(有不脱壳外挂语言文件的吗?汉化完全不懂,没做过)
2007-5-15 10:21
0
skylly
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
11
不明白,那个环节会有跨平台问题?
我脱下的程序在我的xp系统和2003系统上都能运行
2007-5-15 10:42
0
csjwaman
雪    币: 319
活跃值: (2404)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
私信
12
我也没有测试,只是从IAT表初始化的数据上看可能会有问题。你可以把在XP下脱的文件放到98下试试。
2007-5-15 11:47
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
13
那怎么修复不能跨平台问题呢?
2007-5-15 12:49
0
Lancia
雪    币: 219
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
效果很好!谢谢!
2007-5-15 13:04
0
elance
雪    币: 716
活跃值: (162)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
15
thanx for your work~~~
2007-5-16 21:25
0
D调黑客
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
跨平台的问题应该可以解决的,期待牛人的解答。感谢``
2007-5-17 15:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//