[分享]EncryptPE V2.2007.4.11 非S方式跳过注册的脚本-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[分享]EncryptPE V2.2007.4.11 非S方式跳过注册的脚本

2008-1-23 23:53 7210

[分享]EncryptPE V2.2007.4.11 非S方式跳过注册的脚本

davidhee

2008-1-23 23:53

7210

///////////////////////////////////////////////////////////////////////////////////
// FileName :  skip_reg2_1.txt
// Comment    :  EncryptPE V2.2007.4.11  非S方式 ---- skip_reg
// Environment :  WinXP SP2,OllyDbg V1.10, OllyScript
// Author    :  d_h
// Date       :  2008-1-23
// WebSite    :  http://www.pediy.com
///////////////////////////////////////////////////////////////////////////////////

var WPM
var data1
var data2
var data3
var data4

// 先用OD调试Explorer.exe，然后LifeOD注入Explorer.exe，使用skip_reg2_2跳过REG

start1:
cmp $VERSION, "1.48"
jb version
gpa "WriteProcessMemory","kernel32.dll"
mov WPM, $RESULT
add WPM , 2
// bphws WPM ,"x"  // 奇怪，这里用硬件断点行不通

bpcnd WPM , "[ESP]>=7121000"

next:
esto
cmp eip , WPM
jne next
mov data1,[esp]
cmp data1,71121000
jb next
cmp data1,7125F000
ja next
mov data2,[esp+8]
cmp data2,71121000
jb next
cmp data3,7125F000
ja next
mov data3,[esp+0C]
cmp data2,data3
jne next
mov data4,[esp+10]
cmp data4,0
je next
mov [esp+10],0

log data1
log data2
jmp next

version:
msg "插件版本过低"
ret

///////////////////////////////////////////////////////////////////////////////////
// FileName :  skip_reg2_2.txt
// Comment    :  EncryptPE V2.2007.4.11 非S方式 ---- skip_reg
// Environment :  WinXP SP2,LifeDbg V1.4, OllyScript 1.65.2
// Author    :  d_h
// Date       :  2008-1-23
// WebSite    :  http://www.pediy.com
///////////////////////////////////////////////////////////////////////////////////
var patch1
var patch2
var patch3

var p11
var p12
var p13
var p14
var p21
var p22

// 注意：须设置忽略0EEDFADE异常
// 先用OD调试Explorer.exe，需配合使用skip_reg2_1脚本，防止Patch被覆盖

Start:
cmp $VERSION, "1.48"
jb version
gpa "IsDebuggerPresent","kernel32.dll"
bp $RESULT
esto
bc $RESULT

next:
mov  patch1 ,7120350A
mov [patch1],#7400# //#7407#
mov  patch2 ,71201642
mov [patch2],#EB5E# //#745E#
mov  patch3, 711F9561
mov [patch3],#7400# //#7406#

mov  p11, 711FF5F5
mov [p11],#EB7E#    //#757E#
mov  p12, 711F41F4
mov [p12],#750E#    //#7507#
mov  p13, 71201F8E
mov [p13],#7400#    //#740F#

mov  p21, 71201F9D
mov [p21],#EB0B#    //#750B#

esto
jmp next

version:
msg "插件版本过低"
ret

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

上传的附件：

1.rar （1.82kb，216次下载）

收藏・5

点赞・7

打赏

最新回复 (14)
davidhee 雪币： 203 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 135 粉丝 1 关注私信	davidhee 2008-1-23 23:58 2 楼 0 有Key文件的还没试，一点一点学习......
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-1-24 10:53 3 楼 0 恩，非常好，期待脱壳脚本
athenadark 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	athenadark 2008-1-24 19:09 4 楼 0 LifeOD注入Explorer.exe```这个不知道怎么弄呵呵
fengyedao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	fengyedao 2008-1-24 20:07 5 楼 0 不错有意思
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 722 粉丝 1 关注私信	夜凉如水 3 2008-1-25 09:32 6 楼 0 收藏了海风大大都说好
海风日影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -2 回帖 104 粉丝 0 关注私信	海风日影 2008-1-25 09:47 7 楼 0 好邪恶好强大
冰山客雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	冰山客 2008-1-26 20:41 8 楼 0 果然是够猛，学习了。期待。。。。。。
gudongle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	gudongle 2008-1-26 23:33 9 楼 0 学习中...谢谢啊!!
太子king 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	太子king 2008-1-27 01:46 10 楼 0 看了半天还是没懂
cxyxjp 雪币： 195 活跃值： (343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	cxyxjp 2008-1-29 10:27 11 楼 0 恩，非常好，期待脱壳脚本
ysdy 雪币： 560 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	ysdy 2008-1-31 17:27 12 楼 0 强人,学习了. 最近也看到了加了这个壳的软件很强
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 444 粉丝 1 关注私信	fffddd 2008-2-1 20:31 13 楼 0 这脚本不错。
worm 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	worm 2008-3-19 04:04 14 楼 0 LifeOD 怎么做啊??
西域小刚雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	西域小刚 2008-3-19 18:27 15 楼 0 看看学习
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

davidhee

发帖

135

回帖

RANK

关注

私信

他的文章

[求助]请有Hook Api Library 0.2 [Ring0] for delphi 的前辈上传一份［已解决］

[分享]EncryptPE V2.2007.4.11—S方式固定机器码的脚本

[分享]EPE20070411非S方式跳过注册的Explorer.exe

[分享]EncryptPE V2.2007.4.11 非S方式跳过注册的脚本

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
davidhee 雪币： 203 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 135 粉丝 1 关注私信	davidhee 2008-1-23 23:58 2 楼 0 有Key文件的还没试，一点一点学习......
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-1-24 10:53 3 楼 0 恩，非常好，期待脱壳脚本
athenadark 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	athenadark 2008-1-24 19:09 4 楼 0 LifeOD注入Explorer.exe```这个不知道怎么弄呵呵
fengyedao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	fengyedao 2008-1-24 20:07 5 楼 0 不错有意思
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 722 粉丝 1 关注私信	夜凉如水 3 2008-1-25 09:32 6 楼 0 收藏了海风大大都说好
海风日影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -2 回帖 104 粉丝 0 关注私信	海风日影 2008-1-25 09:47 7 楼 0 好邪恶好强大
冰山客雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	冰山客 2008-1-26 20:41 8 楼 0 果然是够猛，学习了。期待。。。。。。
gudongle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	gudongle 2008-1-26 23:33 9 楼 0 学习中...谢谢啊!!
太子king 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	太子king 2008-1-27 01:46 10 楼 0 看了半天还是没懂
cxyxjp 雪币： 195 活跃值： (343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	cxyxjp 2008-1-29 10:27 11 楼 0 恩，非常好，期待脱壳脚本
ysdy 雪币： 560 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	ysdy 2008-1-31 17:27 12 楼 0 强人,学习了. 最近也看到了加了这个壳的软件很强
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 444 粉丝 1 关注私信	fffddd 2008-2-1 20:31 13 楼 0 这脚本不错。
worm 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 21 粉丝 0 关注私信	worm 2008-3-19 04:04 14 楼 0 LifeOD 怎么做啊??
西域小刚雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	西域小刚 2008-3-19 18:27 15 楼 0 看看学习
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[分享]EncryptPE V2.2007.4.11 非S方式 跳过注册的脚本

[分享]EncryptPE V2.2007.4.11 非S方式跳过注册的脚本