我没见过这个壳，不能帮你什么，但能上传一个上来吗？我想看看！

为何不传一个附件上来，你让大家怎么看
还是你在做广告

:o 失败！实在对不起，补了一个附件，感谢大家帮忙！！

最初由 david_lyx 发布
今天练习遇到了morphine加壳的记事本，感觉好难，明明跟到了入口点（004010cc），dump了以后，却怎么也无法修复输入表，现象是在ImportREC中输入入口地址10cc，无法找到输入表。请各位大虾指点迷津！！！在此谢过！附件:Morphine.rar

Morphine 修改了记事本的基址


所以你要设置ImportREC去掉“使用来自磁盘的PE部首”的选项

我所见到的最简单的壳了，不用OD，不用ImportREC修复iat，运行目标程序，启动LoadPE，选项中去掉“完整脱壳：从磁盘文件粘贴文件头”，选择目标，不要纠正映象大小，直接完全脱壳就ok了，:D :D

最初由 daxia200N 发布
我所见到的最简单的壳了，不用OD，不用ImportREC修复iat，运行目标程序，启动LoadPE，选项中去掉“完整脱壳：从磁盘文件粘贴文件头”，选择目标，不要纠正映象大小，直接完全脱壳就ok了，:D :D

厉害~还真是这样！第一次见这种方法！我得看看，脱出来的是什么东西，什么原理！
BTW：如果选了“完整脱壳：从磁盘文件粘贴文件头”什么就不行了呢？

实在是不好意思再问了，但是我修复了导入表以后，程序还是无法运行，这是怎么回事呀？导入表没有问题。请求达人指点。

最初由 david_lyx 发布
实在是不好意思再问了，但是我修复了导入表以后，程序还是无法运行，这是怎么回事呀？导入表没有问题。请求达人指点。

引入表根本就没坏！不用修复！
你只要用lordpe把他dump出来就行了！用ollydump就不行，为什么我也不清楚！
请高手指点一下吧！

我有upx壳的问题啊，快来看啊

最初由 daxia200N 发布
我所见到的最简单的壳了，不用OD，不用ImportREC修复iat，运行目标程序，启动LoadPE，选项中去掉“完整脱壳：从磁盘文件粘贴文件头”，选择目标，不要纠正映象大小，直接完全脱壳就ok了，:D :D

简单！看看这个，同样的壳。:D

附件:NOTEPAD.rar

呵呵~~这个壳把dump出来把原来notepad所有的节标都弄没了！
请教 jingulong  这个应该怎么脱壳？
BTW：你的这个Morphine是什么版本的，我手上的两个版本加壳出来的notepad和你的都不一样！

this packer is quite good...:)...no idea how to unpack it...
may be fly know how to unpack it...
but i found a way to inline patch it..
here is an example i patch sub esp, 44 to add esp,-44

附件:NOTEPAD(ip).rar

最初由 stephenteh 发布
this packer is quite good...:)...no idea how to unpack it...
may be fly know how to unpack it...
but i found a way to inline patch it..
here is an example i patch sub esp, 44 to add esp,-44

........

把sub esp, 44 改成add esp,-44的作用是什么？

表示他有此的本事啊

... i just check the new version of morphine(2.7)
they change the calculation of the oep...

最初由 meila2004 发布
呵呵~~这个壳把dump出来把原来notepad所有的节标都弄没了！
请教 jingulong 这个应该怎么脱壳？
BTW：你的这个Morphine是什么版本的，我手上的两个版本加壳出来的notepad和你的都不一样！

请教不敢。
1 把每节的数据找回来就是
2 1.7

最初由 jingulong 发布
表示他有此的本事啊

这样啊，能传个吗啡2。3吗。

已经搞定了
呵呵~
jingulong大虾果然是前辈，我还以为是我自己想到了这种方法，打算炫耀一下，看来是班门弄斧了！

惭愧~！
附件:dump.rar

最初由 meila2004 发布
已经搞定了
呵呵~
jingulong大虾果然是前辈，我还以为是我自己想到了这种方法，打算炫耀一下，看来是班门弄斧了！

惭愧~！
........

写个教程吧！让大家学学。

最初由 csjwaman 发布


写个教程吧！让大家学学。

有空就写吧

已经写了

http://www.****.net/bbs/dispbbs.asp?boardid=5&id=1025

最新版是2.7还是1.7

用Morphine加壳的记事本很好脱壳，简便方法如下：

一、DUMP文件

直接运行程序，然后打开LordPE,右键选择程序进程，左键点Dump Region...，然后选择

  Adress         Size             Protect          State          Type

....

004000000      0000D0000          XRW              COMMIT         PRIVATE========>DUMP这个区域。保存为EXE文件。

二、修改Section

用LordPE打开文件后，查看Section,发现有5个节，编辑第个节区头为：

VA＝1000
VS＝C000
RO＝1000
RS＝C000
Flags=E000000

然后删除其他节区，再重建PE即可。

但用Morphine加壳其他程序却不能用此法。还请大侠们出手写个教程。附件就是用Morphine加壳的一个小程序。附件:a.part1.rar 附件:a.part1.rar 附件:a.part2.rar 附件:a.part2.rar

OD载入后停在此:
005215CC >  C1F9 20         sar ecx, 20                              ; Shift constant out of range 1..31
005215CF    53              push ebx
005215D0    55              push ebp
005215D1    66:BD 9F06      mov bp, 69F
005215D5    5D              pop ebp
005215D6    5B              pop ebx
005215D7    F9              stc
005215D8    57              push edi
005215D9    66:BF EE51      mov di, 51EE
005215DD    5F              pop edi
005215DE    84E4            test ah, ah
005215E0    66:83E3 FF      and bx, 0FFFF
005215E4    3AE5            cmp ah, ch
005215E6    60              pushad
005215E7    7D 04           jge short Morphine.005215ED  
005215E9    66:83E4 FF      and sp, 0FFFF
005215ED    2D 00000000     sub eax, 0

此时各寄存器内容为:

EAX 00000000
ECX 0012FFB0
EDX 7FFE0304
EBX 7FFDF000
ESP 0012FFC4
EBP 0012FFF0               ;*******************注意这里
ESI 77F5166A ntdll.77F5166A
EDI FFFFFFFF
EIP 005215CC Morphine.<ModuleEntryPoint>

######################################################################################################

当执行到5125e7一句后,看下堆栈

0012FFA4   FFFFFFFF
0012FFA8   77F5166A  RETURN to ntdll.77F5166A from ntdll.77F78C4E
0012FFAC   0012FFF0        ;**********注意这里
0012FFB0   0012FFC4
0012FFB4   7FFDF000
0012FFB8   7FFE0304
0012FFBC   0012FFB0
0012FFC0   00000000
0012FFC4   77E614C7  RETURN to kernel32.77E614C7

下hr 12ffac,然后F9运行,会中断在:

005210DC    83C4 04         add esp, 4
005210DF    5B              pop ebx
005210E0    5A              pop edx
005210E1    83C4 08         add esp, 8
005210E4    894C24 04       mov dword ptr ss:[esp+4], ecx
005210E8    FFE0            jmp eax       ;直跳4010cc入口而去
005210EA    55              push ebp
005210EB    89E5            mov ebp, esp
005210ED    81EC 00020000   sub esp, 200
005210F3    53              push ebx

执行完005210E8    FFE0            jmp eax这句后,就跳到了记事本的入口点了
去掉之前的硬件断点,然后运行PETools，为何不用LordPE？发现LordPE无法直接Dump完全这个EXE进程的数据。
设置PETools的任务察看器选项为全部不选择，完全dump这个进程,即可直接运行了,不用修复IAT(但这样可能不能跨平台运行吧)