[虚伪]slv unpackme 脱壳 & 去校验-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[虚伪]slv unpackme 脱壳 & 去校验

发表于: 2007-7-9 09:28 9796

[虚伪]slv unpackme 脱壳 & 去校验

forgot

2007-7-9 09:28

9796

其实壳本身不要紧，问题是vm里面有个校验。

sm同学手下留情，我勉强能搞一个运行正常的，没精力还原vm了。

在virutalfree的retn上f4, 直到[esp]是一个exe image内的地址f7返回:

0040FA91 B8 BE180000    mov    eax, 18BE
0040FA96 BA 00004000    mov    edx, slv_unpa.00400000
0040FA9B 03C2          add    eax, edx
0040FA9D  - FFE0          jmp    eax

在jmp eax上f4 f7到oep:

004018BE 68 EA1AF500    push 0F51AEA
004018C3  - E9 EF01B500    jmp    00F51AB7
004018C8 CC             int3
004018C9 CC             int3

jmp到vm了, 不过这段内存不可dump, ctrl f2再来看哪里分配的:

bp virtualalloc, 不停的ctrl f9看到eax=00F50000停下:

0040FBB6 6A 40          push 40
0040FBB8 68 00100000    push 1000
0040FBBD 50             push eax
0040FBBE 6A 00          push 0
0040FBC0 FF13          call [ebx]                         ; kernel32.VirtualAlloc
0040FBC2 8BD0          mov    edx, eax
0040FBC4 8BFA          mov    edi, edx
0040FBC6 8B4E FC       mov    ecx, [esi-4]
0040FBC9 F3:A4          rep    movsb

往下走ecx=000151E9, 复制一个unpackme.exe到2.exe, 增加一个section header:

vaddr=0x0022000
vsize=0x20000

加载2.exe在0040FBC2上f4把eax改成422000.

然后按上面到方法走到oep, 用lordpe dump一份(ollydump我从来不成功) dumped.exe
接着用imprec fixdump 生成 3.exe

一运行非法了, 点调试挂上od:

00422CCA 8910          mov    [eax], edx//eax=00140688
00422CCC E9 0D0E0000    jmp    00423ADE

向上看全是屁股...啊不对, 全是花指令, 不过只有 EB, nop掉:

00422CA4 33C0          xor    eax, eax
00422CAC AC             lodsb
00422CB1 8B1487       mov    edx, [edi+eax*4]
00422CB7 33C0          xor    eax, eax
00422CBD AC             lodsb
00422CC1 8B0487       mov    eax, [edi+eax*4]
00422CCA 8910          mov    [eax], edx
00422CCC E9 0D0E0000    jmp    00423ADE

看样子只是一个虚拟机指令, 好像丢掉东西了.

校验是哪里来的?
想法一：GetFileSize,估计sm同学不屑使用,怀着侥幸试一下果然没有用.
想法二：在某处设置了标记,前面virtualalloc都被释放掉了,vm段我们也dump了,能在哪呢?
联想到sm同学一贯喜欢在pe header里面插东西, 就看看pe header

加载2.exe在oep的时候按alt m在pe header上f2果然中断了访问[400110]==1000
加载3.exe也中断了,[400110]==18BE
原来校验了entrypoint, 估计后面当作常数运算了, 因为所有kbys都会把1000作为入口.

解决方案有两种, 一种写一段入口代码把入口改为1000,另一种是挪动,因为写保护不方便,我选择挪动.

401000 ctrl r找到两处参考,都改401005

004011DA E8 21FEFFFF    call 3.00401000
004011EC E8 0FFEFFFF    call 3.00401000

修改这里的代码:

00401000 > /E9 B9080000    jmp    4.004018BE
00401005 |68 EA9C4200    push 4.00429CEA
0040100A  -|E9 A82A0200    jmp    4.00423AB7

保存到文件,最后lordpe修改1000为入口,保存4.exe,嗯出图片了.

不过点了出来she之后不会关掉自己反而弹出自己, 估计是虚拟机里有调用1000退出,
结果跳到18be又DialogParam了

那么只好选择写保护了,用lordpe添加一个输入函数VirutalProtect

在oep下面找片空地写代码, 最后跳回18be
004018C8 >  B8 00004000    mov    eax, 00400000
004018CD 0340 3C       add    eax, [eax+3C]
004018D0 8D78 28       lea    edi, [eax+28]
004018D3 50             push eax
004018D4 54             push esp
004018D5 6A 04          push 4
004018D7 6A 04          push 4
004018D9 57             push edi
004018DA FF15 1E304400 call [44301E]                      ; kernel32.VirtualProtect
004018E0 58             pop    eax
004018E1 B8 00100000    mov    eax, 1000
004018E6 AB             stosd
004018E7  ^ EB D5          jmp    004018BE

把入口改成18c8,搞定收工.

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

SLV_UNPACKME.rar （227.19kb，56次下载）

收藏・2

免费・7

支持

最新回复 (18)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼我听见脚步声是你尿的软皮鞋根 2007-7-9 09:35 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 3 楼好虚伪 //code by skylly //for shoooo's vm engine gpa "VirtualFree", "kernel32.dll" cmp $RESULT,0 je err var VF mov VF,$RESULT bp VF esto esto esto bc VF rtu find eip,#FFE0# cmp $RESULT,0 je err go $RESULT sti //vm start here fuckvm: //首先找到 op_code起始地址 var temp lps: mov temp,[eip] and temp,FF cmp temp,E9 //jmp je vmstart sti jmp lps vmstart: sti var addr mov addr,[esp] cmt eip,"请等待分析过程..." //解析 anly: var tempcode mov tempcode,[addr] and tempcode,FF cmp tempcode,0C je vm_0C cmp tempcode,0D je vm_0D cmp tempcode,13 je vm_13 cmp tempcode,14 je vm_14 cmp tempcode,1C je vm_1C cmp tempcode,2C je vm_2C cmp tempcode,2D je vm_2D cmp tempcode,35 je vm_35 cmp tempcode,39 je vm_39 cmp tempcode,3D je vm_3D cmp tempcode,3F je vm_3F cmp tempcode,42 je vm_42 cmp tempcode,45 je vm_45 cmp tempcode,48 je vm_48 cmp tempcode,4A je vm_4A cmp tempcode,4F je vm_4F cmp tempcode,54 je vm_54 cmp tempcode,55 je vm_55 cmp tempcode,5C je vm_5C cmp tempcode,5E je vm_5E cmp tempcode,60 je vm_60 cmp tempcode,61 je vm_5E //这里和5e一样的操作 cmp tempcode,64 je vm_5E //这里和5e一样的操作 cmp tempcode,68 je vm_68 cmp tempcode,6A je vm_6A cmp tempcode,76 je vm_5E //这里和5e一样的操作 cmp tempcode,78 je vm_5E //这里和5e一样的操作 cmp tempcode,7A je vm_7A cmp tempcode,7B je vm_7B cmp tempcode,7D je vm_7D //to be continue... jmp unknown vm_0C: //je neweip var code var reg inc addr mov reg,[addr] and reg,FF cmp reg,1A jne err inc addr mov code,[addr] add addr,4 add code,addr sub addr,5 eval "{addr}: je {code}" log $RESULT add addr,5 var addr1 var addr2 mov addr1,addr mov addr2,code bphws addr1,"r" bphws addr2,"r" esto bphwc addr1 bphwc addr2 mov addr,esi dec addr jmp anly vm_0D: //or vm_reg1 vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: or vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_13: //and 400, vm_reg //push 结果 var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: and [esp], 400, vmreg_{code}" log $RESULT add addr,2 jmp anly vm_14: //mov fs: [vm_reg1], vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov dword ptr fs: [vmreg_{reg2}], vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_1C: //mov vm_reg,const var code var reg inc addr mov code,[addr] add addr,4 mov reg,[addr] and reg,FF sub addr,5 eval "{addr}: mov vmreg_{reg}, {code}" log $RESULT add addr,6 jmp anly vm_2C: //add vm_reg, esi var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: add vmreg_{code}, esi" log $RESULT add addr,2 jmp anly vm_2D: //mov word vm_reg1,[vm_reg2] var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov word vmreg_{reg2}, [vmreg_{reg1}]" log $RESULT add addr,3 jmp anly vm_35: //mov byte ptr vm_reg1, vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov byte vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_39: //xor vm_reg1 vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: xor vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_3D: //pop vm_reg var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: pop vmreg_{code}" log $RESULT add addr,2 jmp anly vm_3F: //and byte ptr vm_reg1, vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: and byte vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_42: //mov [vm_reg1],vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov [vmreg_{reg2}], vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_45: //sub vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: sub vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_48: //jmp neweip var code var reg inc addr mov reg,[addr] and reg,FF cmp reg,1A jne err inc addr mov code,[addr] add addr,4 add code,addr sub addr,5 eval "{addr}: jmp {code}" log $RESULT add addr,5 mov addr,code //跳转了 jmp anly vm_4A: //mov ebp, vm_reg var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: mov ebp, vmreg_{code}]" log $RESULT add addr,2 jmp anly vm_4F: //shr dword vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: shr vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_54: //push vm_reg var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: push vmreg_{code}" log $RESULT add addr,2 jmp anly vm_55: //retn to a real api call eval "{addr}: out of vm" log $RESULT //add addr,1 bphws addr,"r" esto bphwc addr mov addr,ebp add addr,24 var temp mov temp,[addr] eval "jmp api: {temp}" log $RESULT add addr,4 mov addr,[addr] cmp temp,10000000 jb end //如果不是个api地址 bphws addr,"x" esto vmreturn: bphwc addr jmp fuckvm vm_5C: //pushfd //or [esp],vm_13的运行结果 //pop vm_reg var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: or vmreg_{code}, eflag, [esp]" log $RESULT add addr,2 jmp anly vm_5E: //mov vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_60: //jne neweip var code var reg inc addr mov reg,[addr] and reg,FF cmp reg,1A jne err inc addr mov code,[addr] add addr,4 add code,addr sub addr,5 eval "{addr}: jne {code}" log $RESULT add addr,5 var addr1 var addr2 mov addr1,addr mov addr2,code bphws addr1,"r" bphws addr2,"r" esto bphwc addr1 bphwc addr2 mov addr,esi dec addr jmp anly vm_68: //shl dword vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: shl vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_6A: //add vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: add vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_7A: //mov byte vm_reg1,[vm_reg2] var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov byte vmreg_{reg2}, [vmreg_{reg1}]" log $RESULT add addr,3 jmp anly vm_7B: //and vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: and vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_7D: //mov vm_reg1, (vm_reg2 shr 8; and FF) var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov vmreg_{reg2}, (vmreg_{reg1} shr 8; and FF)" log $RESULT add addr,3 jmp anly unknown: eval "unkonw code at: {addr}" log $RESULT msg $RESULT ret end: //vm外的代码 bphws temp,"x" esto bphwc temp cmt eip,"here is not vmed" bphws addr,"x" esto jmp vmreturn ret err: msg "error" ret 2007-7-9 11:50 0
slv 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	slv 4 楼我每次加出来的pcode都是随机的 2007-7-9 12:11 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 5 楼学习一下 123456 2007-7-9 12:21 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 6 楼顶了再看~~~ 2007-7-9 12:37 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 7 楼那就再把记事本加个壳放出来呀学习一下 2007-7-9 12:40 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 8 楼学习....... 2007-7-9 12:57 0
slv 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	slv 9 楼放个看雪上主页跑hash的工具直接反pcode对有vm经验的人没什么难度关键是反出来的东西整理成有意义的可读的代码我下面的工作会在这方面下功夫上传的附件： ultra.rar （86.94kb，30次下载） 2007-7-9 13:03 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼还不忘记切换mj，佩服 2007-7-9 13:11 0
我是幼齿雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	我是幼齿 11 楼我有一个插件, 马桶下同时30个马甲一起登录论坛 2007-7-9 13:12 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 12 楼 MJ成灾 2007-7-9 13:32 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 13 楼那么多的马甲难道不会忘记密码?难道建立了马甲数据库? 2007-7-9 13:49 0
猪的理想雪币： 0 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	猪的理想 14 楼我猜密码是ID的md5 2007-7-9 13:54 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 15 楼估计还有个自动输入密码的插件 2007-7-9 14:46 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 16 楼这个号的名字起的相当有深度,要是能配个合适的头像,再刷篇精华,就可以成为精品了。 2007-7-9 15:25 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 17 楼开眼界了 123456 2007-7-9 16:13 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 18 楼我听见脚步声是预料的软皮鞋跟，他推开门晚风好冷没有的预征。 2007-7-9 16:27 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼密码保存的,自动登陆 2007-7-9 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

forgot

155

发帖

3771

回帖

1060

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼我听见脚步声是你尿的软皮鞋根 2007-7-9 09:35 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 3 楼好虚伪 //code by skylly //for shoooo's vm engine gpa "VirtualFree", "kernel32.dll" cmp $RESULT,0 je err var VF mov VF,$RESULT bp VF esto esto esto bc VF rtu find eip,#FFE0# cmp $RESULT,0 je err go $RESULT sti //vm start here fuckvm: //首先找到 op_code起始地址 var temp lps: mov temp,[eip] and temp,FF cmp temp,E9 //jmp je vmstart sti jmp lps vmstart: sti var addr mov addr,[esp] cmt eip,"请等待分析过程..." //解析 anly: var tempcode mov tempcode,[addr] and tempcode,FF cmp tempcode,0C je vm_0C cmp tempcode,0D je vm_0D cmp tempcode,13 je vm_13 cmp tempcode,14 je vm_14 cmp tempcode,1C je vm_1C cmp tempcode,2C je vm_2C cmp tempcode,2D je vm_2D cmp tempcode,35 je vm_35 cmp tempcode,39 je vm_39 cmp tempcode,3D je vm_3D cmp tempcode,3F je vm_3F cmp tempcode,42 je vm_42 cmp tempcode,45 je vm_45 cmp tempcode,48 je vm_48 cmp tempcode,4A je vm_4A cmp tempcode,4F je vm_4F cmp tempcode,54 je vm_54 cmp tempcode,55 je vm_55 cmp tempcode,5C je vm_5C cmp tempcode,5E je vm_5E cmp tempcode,60 je vm_60 cmp tempcode,61 je vm_5E //这里和5e一样的操作 cmp tempcode,64 je vm_5E //这里和5e一样的操作 cmp tempcode,68 je vm_68 cmp tempcode,6A je vm_6A cmp tempcode,76 je vm_5E //这里和5e一样的操作 cmp tempcode,78 je vm_5E //这里和5e一样的操作 cmp tempcode,7A je vm_7A cmp tempcode,7B je vm_7B cmp tempcode,7D je vm_7D //to be continue... jmp unknown vm_0C: //je neweip var code var reg inc addr mov reg,[addr] and reg,FF cmp reg,1A jne err inc addr mov code,[addr] add addr,4 add code,addr sub addr,5 eval "{addr}: je {code}" log $RESULT add addr,5 var addr1 var addr2 mov addr1,addr mov addr2,code bphws addr1,"r" bphws addr2,"r" esto bphwc addr1 bphwc addr2 mov addr,esi dec addr jmp anly vm_0D: //or vm_reg1 vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: or vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_13: //and 400, vm_reg //push 结果 var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: and [esp], 400, vmreg_{code}" log $RESULT add addr,2 jmp anly vm_14: //mov fs: [vm_reg1], vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov dword ptr fs: [vmreg_{reg2}], vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_1C: //mov vm_reg,const var code var reg inc addr mov code,[addr] add addr,4 mov reg,[addr] and reg,FF sub addr,5 eval "{addr}: mov vmreg_{reg}, {code}" log $RESULT add addr,6 jmp anly vm_2C: //add vm_reg, esi var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: add vmreg_{code}, esi" log $RESULT add addr,2 jmp anly vm_2D: //mov word vm_reg1,[vm_reg2] var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov word vmreg_{reg2}, [vmreg_{reg1}]" log $RESULT add addr,3 jmp anly vm_35: //mov byte ptr vm_reg1, vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov byte vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_39: //xor vm_reg1 vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: xor vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_3D: //pop vm_reg var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: pop vmreg_{code}" log $RESULT add addr,2 jmp anly vm_3F: //and byte ptr vm_reg1, vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: and byte vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_42: //mov [vm_reg1],vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov [vmreg_{reg2}], vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_45: //sub vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: sub vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_48: //jmp neweip var code var reg inc addr mov reg,[addr] and reg,FF cmp reg,1A jne err inc addr mov code,[addr] add addr,4 add code,addr sub addr,5 eval "{addr}: jmp {code}" log $RESULT add addr,5 mov addr,code //跳转了 jmp anly vm_4A: //mov ebp, vm_reg var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: mov ebp, vmreg_{code}]" log $RESULT add addr,2 jmp anly vm_4F: //shr dword vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: shr vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_54: //push vm_reg var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: push vmreg_{code}" log $RESULT add addr,2 jmp anly vm_55: //retn to a real api call eval "{addr}: out of vm" log $RESULT //add addr,1 bphws addr,"r" esto bphwc addr mov addr,ebp add addr,24 var temp mov temp,[addr] eval "jmp api: {temp}" log $RESULT add addr,4 mov addr,[addr] cmp temp,10000000 jb end //如果不是个api地址 bphws addr,"x" esto vmreturn: bphwc addr jmp fuckvm vm_5C: //pushfd //or [esp],vm_13的运行结果 //pop vm_reg var code inc addr mov code,[addr] and code,FF dec addr eval "{addr}: or vmreg_{code}, eflag, [esp]" log $RESULT add addr,2 jmp anly vm_5E: //mov vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_60: //jne neweip var code var reg inc addr mov reg,[addr] and reg,FF cmp reg,1A jne err inc addr mov code,[addr] add addr,4 add code,addr sub addr,5 eval "{addr}: jne {code}" log $RESULT add addr,5 var addr1 var addr2 mov addr1,addr mov addr2,code bphws addr1,"r" bphws addr2,"r" esto bphwc addr1 bphwc addr2 mov addr,esi dec addr jmp anly vm_68: //shl dword vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: shl vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_6A: //add vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: add vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_7A: //mov byte vm_reg1,[vm_reg2] var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov byte vmreg_{reg2}, [vmreg_{reg1}]" log $RESULT add addr,3 jmp anly vm_7B: //and vm_reg1,vm_reg2 var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: and vmreg_{reg2}, vmreg_{reg1}" log $RESULT add addr,3 jmp anly vm_7D: //mov vm_reg1, (vm_reg2 shr 8; and FF) var reg1 var reg2 inc addr mov reg1,[addr] and reg1,FF inc addr mov reg2,[addr] and reg2,FF sub addr,2 eval "{addr}: mov vmreg_{reg2}, (vmreg_{reg1} shr 8; and FF)" log $RESULT add addr,3 jmp anly unknown: eval "unkonw code at: {addr}" log $RESULT msg $RESULT ret end: //vm外的代码 bphws temp,"x" esto bphwc temp cmt eip,"here is not vmed" bphws addr,"x" esto jmp vmreturn ret err: msg "error" ret 2007-7-9 11:50 0
slv 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	slv 4 楼我每次加出来的pcode都是随机的 2007-7-9 12:11 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 5 楼学习一下 123456 2007-7-9 12:21 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 6 楼顶了再看~~~ 2007-7-9 12:37 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 7 楼那就再把记事本加个壳放出来呀学习一下 2007-7-9 12:40 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 8 楼学习....... 2007-7-9 12:57 0
slv 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	slv 9 楼放个看雪上主页跑hash的工具直接反pcode对有vm经验的人没什么难度关键是反出来的东西整理成有意义的可读的代码我下面的工作会在这方面下功夫上传的附件： ultra.rar （86.94kb，30次下载） 2007-7-9 13:03 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼还不忘记切换mj，佩服 2007-7-9 13:11 0
我是幼齿雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	我是幼齿 11 楼我有一个插件, 马桶下同时30个马甲一起登录论坛 2007-7-9 13:12 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 12 楼 MJ成灾 2007-7-9 13:32 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 13 楼那么多的马甲难道不会忘记密码?难道建立了马甲数据库? 2007-7-9 13:49 0
猪的理想雪币： 0 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	猪的理想 14 楼我猜密码是ID的md5 2007-7-9 13:54 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 15 楼估计还有个自动输入密码的插件 2007-7-9 14:46 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 16 楼这个号的名字起的相当有深度,要是能配个合适的头像,再刷篇精华,就可以成为精品了。 2007-7-9 15:25 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 17 楼开眼界了 123456 2007-7-9 16:13 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 18 楼我听见脚步声是预料的软皮鞋跟，他推开门晚风好冷没有的预征。 2007-7-9 16:27 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼密码保存的,自动登陆 2007-7-9 17:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复