能力值:
( LV2,RANK:10 )
2 楼
我没见过这个壳,不能帮你什么,但能上传一个上来吗?我想看看!
能力值:
( LV12,RANK:770 )
3 楼
为何不传一个附件上来,你让大家怎么看
还是你在做广告
能力值:
( LV2,RANK:10 )
4 楼
:o 失败!实在对不起,补了一个附件,感谢大家帮忙!!
能力值:
( LV9,RANK:3410 )
5 楼
最初由 david_lyx 发布 今天练习遇到了morphine加壳的记事本,感觉好难,明明跟到了入口点(004010cc),dump了以后,却怎么也无法修复输入表,现象是在ImportREC中输入入口地址10cc,无法找到输入表。请各位大虾指点迷津!!!在此谢过!附件:Morphine.rar Morphine 修改了记事本的基址
所以你要设置ImportREC去掉“使用来自磁盘的PE部首”的选项
能力值:
( LV9,RANK:250 )
6 楼
我所见到的最简单的壳了,不用OD,不用ImportREC修复iat,运行目标程序,启动LoadPE,选项中去掉“完整脱壳:从磁盘文件粘贴文件头”,选择目标,不要纠正映象大小,直接完全脱壳就ok了,:D :D
能力值:
( LV2,RANK:10 )
7 楼
最初由 daxia200N 发布 我所见到的最简单的壳了,不用OD,不用ImportREC修复iat,运行目标程序,启动LoadPE,选项中去掉“完整脱壳:从磁盘文件粘贴文件头”,选择目标,不要纠正映象大小,直接完全脱壳就ok了,:D :D
厉害~还真是这样!第一次见这种方法!我得看看,脱出来的是什么东西,什么原理!
BTW:如果选了“完整脱壳:从磁盘文件粘贴文件头”什么就不行了呢?
能力值:
( LV2,RANK:10 )
8 楼
实在是不好意思再问了,但是我修复了导入表以后,程序还是无法运行,这是怎么回事呀?导入表没有问题。请求达人指点。
能力值:
( LV2,RANK:10 )
9 楼
最初由 david_lyx 发布 实在是不好意思再问了,但是我修复了导入表以后,程序还是无法运行,这是怎么回事呀?导入表没有问题。请求达人指点。
引入表根本就没坏!不用修复!
你只要用lordpe把他dump出来就行了!用ollydump就不行,为什么我也不清楚!
请高手指点一下吧!
能力值:
( LV2,RANK:10 )
10 楼
我有upx壳的问题啊,快来看啊
能力值:
( LV9,RANK:210 )
11 楼
最初由 daxia200N 发布 我所见到的最简单的壳了,不用OD,不用ImportREC修复iat,运行目标程序,启动LoadPE,选项中去掉“完整脱壳:从磁盘文件粘贴文件头”,选择目标,不要纠正映象大小,直接完全脱壳就ok了,:D :D
简单!看看这个,同样的壳。:D
附件:NOTEPAD.rar
能力值:
( LV2,RANK:10 )
12 楼
呵呵~~这个壳把dump出来把原来notepad所有的节标都弄没了!
请教 jingulong 这个应该怎么脱壳?
BTW:你的这个Morphine是什么版本的,我手上的两个版本加壳出来的notepad和你的都不一样!
能力值:
( LV2,RANK:10 )
13 楼
this packer is quite good...:)...no idea how to unpack it...
may be fly know how to unpack it...
but i found a way to inline patch it..
here is an example i patch sub esp, 44 to add esp,-44
附件:NOTEPAD(ip).rar
能力值:
( LV2,RANK:10 )
14 楼
最初由 stephenteh 发布 this packer is quite good...:)...no idea how to unpack it... may be fly know how to unpack it... but i found a way to inline patch it.. here is an example i patch sub esp, 44 to add esp,-44 ........
把sub esp, 44 改成add esp,-44的作用是什么?
能力值:
( LV9,RANK:210 )
15 楼
表示他有此的本事啊
能力值:
( LV2,RANK:10 )
16 楼
... i just check the new version of morphine(2.7)
they change the calculation of the oep...
能力值:
( LV9,RANK:210 )
17 楼
最初由 meila2004 发布 呵呵~~这个壳把dump出来把原来notepad所有的节标都弄没了! 请教 jingulong 这个应该怎么脱壳? BTW:你的这个Morphine是什么版本的,我手上的两个版本加壳出来的notepad和你的都不一样!
请教不敢。
1 把每节的数据找回来就是
2 1.7
能力值:
( LV2,RANK:10 )
18 楼
最初由 jingulong 发布 表示他有此的本事啊
这样啊,能传个吗啡2。3吗。
能力值:
( LV2,RANK:10 )
19 楼
已经搞定了
呵呵~
jingulong大虾果然是前辈,我还以为是我自己想到了这种方法,打算炫耀一下,看来是班门弄斧了!
惭愧~!
附件:dump.rar
能力值:
( LV12,RANK:980 )
20 楼
最初由 meila2004 发布 已经搞定了 呵呵~ jingulong大虾果然是前辈,我还以为是我自己想到了这种方法,打算炫耀一下,看来是班门弄斧了! 惭愧~! ........
写个教程吧!让大家学学。
能力值:
( LV2,RANK:10 )
21 楼
最初由 csjwaman 发布 写个教程吧!让大家学学。 有空就写吧 已经写了 http://www.****.net/bbs/dispbbs.asp?boardid=5&id=1025
最后于 2021-4-25 17:02
被kanxue编辑
,原因: www.****.net域名失效,变成X站,故编辑删除
能力值:
( LV2,RANK:10 )
22 楼
最新版是2.7还是1.7
能力值:
( LV12,RANK:980 )
23 楼
用Morphine加壳的记事本很好脱壳,简便方法如下:
一、DUMP文件
直接运行程序,然后打开LordPE,右键选择程序进程,左键点Dump Region...,然后选择
Adress Size Protect State Type
....
004000000 0000D0000 XRW COMMIT PRIVATE========>DUMP这个区域。保存为EXE文件。
二、修改Section
用LordPE打开文件后,查看Section,发现有5个节,编辑第个节区头为:
VA=1000
VS=C000
RO=1000
RS=C000
Flags=E000000
然后删除其他节区,再重建PE即可。
但用Morphine加壳其他程序却不能用此法。还请大侠们出手写个教程。附件就是用Morphine加壳的一个小程序。
附件:a.part1.rar 附件:a.part1.rar 附件:a.part2.rar 附件:a.part2.rar
能力值:
( LV9,RANK:290 )
24 楼
OD载入后停在此:
005215CC > C1F9 20 sar ecx, 20 ; Shift constant out of range 1..31
005215CF 53 push ebx
005215D0 55 push ebp
005215D1 66:BD 9F06 mov bp, 69F
005215D5 5D pop ebp
005215D6 5B pop ebx
005215D7 F9 stc
005215D8 57 push edi
005215D9 66:BF EE51 mov di, 51EE
005215DD 5F pop edi
005215DE 84E4 test ah, ah
005215E0 66:83E3 FF and bx, 0FFFF
005215E4 3AE5 cmp ah, ch
005215E6 60 pushad
005215E7 7D 04 jge short Morphine.005215ED
005215E9 66:83E4 FF and sp, 0FFFF
005215ED 2D 00000000 sub eax, 0
此时各寄存器内容为: EAX 00000000
ECX 0012FFB0
EDX 7FFE0304
EBX 7FFDF000
ESP 0012FFC4
EBP 0012FFF0 ;*******************注意这里
ESI 77F5166A ntdll.77F5166A
EDI FFFFFFFF
EIP 005215CC Morphine.<ModuleEntryPoint>
###################################################################################################### 当执行到5125e7一句后,看下堆栈
0012FFA4 FFFFFFFF
0012FFA8 77F5166A RETURN to ntdll.77F5166A from ntdll.77F78C4E
0012FFAC 0012FFF0 ;**********注意这里
0012FFB0 0012FFC4
0012FFB4 7FFDF000
0012FFB8 7FFE0304
0012FFBC 0012FFB0
0012FFC0 00000000
0012FFC4 77E614C7 RETURN to kernel32.77E614C7
下hr 12ffac,然后F9运行,会中断在:
005210DC 83C4 04 add esp, 4
005210DF 5B pop ebx
005210E0 5A pop edx
005210E1 83C4 08 add esp, 8
005210E4 894C24 04 mov dword ptr ss:[esp+4], ecx
005210E8 FFE0 jmp eax ;直跳4010cc入口而去
005210EA 55 push ebp
005210EB 89E5 mov ebp, esp
005210ED 81EC 00020000 sub esp, 200
005210F3 53 push ebx 执行完005210E8 FFE0 jmp eax这句后,就跳到了记事本的入口点了
去掉之前的硬件断点,然后运行PETools,为何不用LordPE?发现LordPE无法直接Dump完全这个EXE进程的数据。
设置PETools的任务察看器选项为全部不选择,完全dump这个进程,即可直接运行了,不用修复IAT(但这样可能不能跨平台运行吧)