[原创] SVKP1.43 之VB [含抽取代码]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创] SVKP1.43 之VB [含抽取代码]

发表于: 2008-2-18 14:37 9969

[原创] SVKP1.43 之VB [含抽取代码]

yangjt

2008-2-18 14:37

9969

【文章标题】: SVKP1.43 之VB [含抽取代码]
【文章作者】: yangjt
【作者邮箱】: yangjietao123@163.com
【作者QQ号】: 325002492
【软件名称】: 体重指标获取程序
【软件大小】: 加壳前736 KB
【下载地址】: 我同学写的程序啦~~从我这里下载就好了
【加壳方式】: SVKP 1.43
【使用工具】: OllyICE,LordPE个人版,ImportREC,CFF Explorer
【操作平台】: Windows XP SP3[正版，非爱国版^_^]
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】

  昨天下午俺们班同学给我传过来一个他用VB写的程序……我就顺便用SVKP1.43给他加了个壳，下面是脱壳的步骤，脱完壳油化后竟然能和加壳前程序一般大小，看来SVKP对VB的保护也是有心无力啊……

  废话不多说……来看程序

  004B8000 >  60              pushad
  004B8001    E8 00000000     call    004B8006
  004B8006    5D              pop     ebp
  004B8007    81ED 06000000   sub     ebp, 6
  004B800D    EB 05           jmp     short 004B8014
  004B800F    B8 49DCF466     mov     eax, 66F4DC49
  004B8014    64:A0 23000000  mov     al, byte ptr fs:[23]
  004B801A    EB 03           jmp     short 004B801F
  004B801C    C784E8 84C0EB03>mov     dword ptr [eax+ebp*8+3EBC084], 7>
  004B8027    67:B9 49000000  mov     ecx, 49
  004B802D    8DB5 C5020000   lea     esi, dword ptr [ebp+2C5]
  004B8033    56              push    esi
  004B8034    8006 44         add     byte ptr [esi], 44
  004B8037    46              inc     esi
  004B8038  ^ E2 FA           loopd   short 004B8034

  7C92120F    C3              retn
  7C921210    8BFF            mov     edi, edi
  7C921212 >  CC              int3
  7C921213    C3              retn
  7C921214    8BFF            mov     edi, edi
  7C921216    8B4424 04       mov     eax, dword ptr [esp+4]
  7C92121A    CC              int3
  7C92121B    C2 0400         retn    4
  7C92121E >  64:A1 18000000  mov     eax, dword ptr fs:[18]
  7C921224    C3              retn
  7C921225 >  57              push    edi

  7C92E4F4 >  C3              retn
  7C92E4F5    8DA424 00000000 lea     esp, dword ptr [esp]
  7C92E4FC    8D6424 00       lea     esp, dword ptr [esp]
  7C92E500 >  8D5424 08       lea     edx, dword ptr [esp+8]
  7C92E504    CD 2E           int     2E
  7C92E506    C3              retn
  7C92E507    90              nop
  7C92E508 >  55              push    ebp
  7C92E509    8BEC            mov     ebp, esp
  7C92E50B    9C              pushfd

  0012FE7C   77D19418  返回到 USER32.77D19418
  0012FE80   733AD756  返回到 MSVBVM60.733AD756 来自 USER32.WaitMessage
  0012FE84   FFFFFFFF
  0012FE88   03C2373C
  0012FE8C   00000000
  0012FE90   00020A9A
  0012FE94   0000000F
  0012FE98   00000000
  0012FE9C   00000000
  0012FEA0   014B4B57
  0012FEA4   0000009E
  0012FEA8   00000085
  0012FEAC   03C20000
  0012FEB0   00000000
  0012FEB4   03C21E94
  0012FEB8  /0012FEFC
  0012FEBC  |7339A627  返回到 MSVBVM60.7339A627 来自 MSVBVM60.7339A632
  0012FEC0  |FFFFFFFF
  0012FEC4  |03C23764
  0012FEC8  |03C20000
  0012FECC  |03C2375C
  0012FED0  |7339A5C9  返回到 MSVBVM60.7339A5C9
  0012FED4  |03C2373C
  0012FED8  |FFFFFFFF
  0012FEDC  |03C23834
  0012FEE0  |03C2375C
  0012FEE4  |FFFFFFFF
  0012FEE8  |03C23834
  0012FEEC  |FFFFFFFF
  0012FEF0  |000005CC
  0012FEF4  |00000001
  0012FEF8  |00000000
  0012FEFC  \733AA3B8  MSVBVM60.733AA3B8
  0012FF00   7339A505  返回到 MSVBVM60.7339A505 来自 MSVBVM60.7339A51B
  0012FF04   03C23834
  0012FF08   FFFFFFFF
  0012FF0C   000005CC
  0012FF10   FFFFFFFF
  0012FF14   FFFFFFFF
  0012FF18   03C237FC
  0012FF1C   7339A4D0  返回到 MSVBVM60.7339A4D0
  0012FF20   03C23760
  0012FF24   03C23834
  0012FF28   FFFFFFFF
  0012FF2C   000005CC
  0012FF30   00000000
  0012FF34   7349E470  MSVBVM60.7349E470
  0012FF38   0012FFB8
  0012FF3C   7FFDE000
  0012FF40   73393644  返回到 MSVBVM60.73393644 来自 MSVBVM60.7339A4AA
  0012FF44   FFFFFFFF
  0012FF48   00000000
  0012FF4C   00000010
  0012FF50   7FFDE000
  0012FF54   03C21FA4
  0012FF58   00000044
  0012FF5C   00154A48
  0012FF60   00154C38  ASCII "WinSta0\Default"
  0012FF64   00154C50
  0012FF68   00000000
  0012FF6C   00000000
  0012FF70   00000000
  0012FF74   00000000
  0012FF78   00000000
  0012FF7C   00000000
  0012FF80   00000000
  0012FF84   00000401
  0012FF88   00000001
  0012FF8C   00000000
  0012FF90   00000000
  0012FF94   00010001
  0012FF98   00000000
  0012FF9C   00000000
  0012FFA0   0012FF48
  0012FFA4   0012FFB0
  0012FFA8   0012FFE0  指向下一个 SEH 记录的指针
  0012FFAC   7347BAFD  SE处理程序
  0012FFB0   733A97D0  MSVBVM60.733A97D0
  0012FFB4   00000000
  0012FFB8   0012FFF0
  0012FFBC   037CF5E1  返回到 037CF5E1 来自 MSVBVM60.ThunRTMain
  0012FFC0   0045A0BC  SVKP_.0045A0BC
  0012FFC4   7C817067  返回到 kernel32.7C817067
  0012FFC8   00000000
  0012FFCC   00000010
  0012FFD0   7FFDE000
  0012FFD4   8054C6ED
  0012FFD8   0012FFC8
  0012FFDC   8523D538
  0012FFE0   FFFFFFFF  SEH 链尾部
  0012FFE4   7C839AC0  SE处理程序
  0012FFE8   7C817070  kernel32.7C817070
  0012FFEC   00000000
  0012FFF0   00000000
  0012FFF4   00000000
  0012FFF8   004B8000  offset SVKP_.<模块入口点>
  0012FFFC   00000000

  0012FFC0   0045A0BC  SVKP_.0045A0BC

  0045A0BC    56              push    esi                           //返回到这里了
  0045A0BD    42              inc     edx
  0045A0BE    35 21F01F76     xor     eax, 761FF021
  0045A0C3    6236            bound   esi, qword ptr [esi]
  0045A0C5    6368 73         arpl    word ptr [eax+73], bp
  0045A0C8    2E:             prefix cs:
  0045A0C9    64:6C           ins     byte ptr es:[edi], dx
  0045A0CB    6C              ins     byte ptr es:[edi], dx
  0045A0CC    0000            add     byte ptr [eax], al
  0045A0CE    0000            add     byte ptr [eax], al
  0045A0D0    2A00            sub     al, byte ptr [eax]
  0045A0D2    0000            add     byte ptr [eax], al
  0045A0D4    0000            add     byte ptr [eax], al
  0045A0D6    0000            add     byte ptr [eax], al

  0040111D    BE 4500FF25     mov     esi, 25FF0045
  00401122    48              dec     eax
  00401123    1040 00         adc     byte ptr [eax], al
  00401126  - FF25 68104000   jmp     dword ptr [401068]               ; MSVBVM60.__vbaExceptHandler
  0040112C  - FF25 78104000   jmp     dword ptr [401078]               ; MSVBVM60.__vbaFPException
  00401132  - FF25 38104000   jmp     dword ptr [401038]               ; MSVBVM60._adj_fdiv_m16i
  00401138  - FF25 2C104000   jmp     dword ptr [40102C]               ; MSVBVM60._adj_fdiv_m32
  0040113E  - FF25 8C104000   jmp     dword ptr [40108C]               ; MSVBVM60._adj_fdiv_m32i
  00401144  - FF25 18104000   jmp     dword ptr [401018]               ; MSVBVM60._adj_fdiv_m64
  0040114A  - FF25 A0104000   jmp     dword ptr [4010A0]               ; MSVBVM60._adj_fdiv_r
  00401150  - FF25 40104000   jmp     dword ptr [401040]               ; MSVBVM60._adj_fdivr_m16i
  00401156  - FF25 9C104000   jmp     dword ptr [40109C]               ; MSVBVM60._adj_fdivr_m32
  0040115C  - FF25 90104000   jmp     dword ptr [401090]               ; MSVBVM60._adj_fdivr_m32i
  00401162  - FF25 70104000   jmp     dword ptr [401070]               ; MSVBVM60._adj_fdivr_m64
  00401168  - FF25 58104000   jmp     dword ptr [401058]               ; MSVBVM60._adj_fpatan

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

SVKP_VB.rar （569.25kb，123次下载）

收藏・5

免费・7

支持

最新回复 (9)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼楼主最近成果很多啊，学习。 2008-2-18 14:41 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 3 楼好好学习，天天向上。 2008-2-18 18:48 0
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 0 关注私信	安摧 2 4 楼不错好,难得啊辛苦了 2008-2-18 19:15 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 5 楼 vb+stolen code=0 支持 2008-2-18 19:38 0
iawen 雪币： 359 活跃值： (435) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 6 楼针对VB的程序，确实不错，谢谢楼主 2008-2-18 20:03 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 7 楼不错学习了好东西vb 2008-2-19 20:50 0
zhangjunyu 雪币： 102 能力值： (RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	zhangjunyu 8 楼很高兴能见到传说中的yangjt大侠！我膜拜你楼主 2008-2-20 11:43 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 9 楼楼主最近成果很多啊，学习。 2008-2-20 15:27 0
tjszlqq 雪币： 1353 活跃值： (2336) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 885 粉丝 2 关注私信	tjszlqq 1 10 楼顶！楼主想不到这么快就搞到精华了，不错！ 2008-2-21 09:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yangjt

发帖

459

回帖

441

RANK

关注

私信

他的文章

[原创]动手给音速启动加点动力、 15747
[原创]lpk类病毒分析 31537
[原创]css.exe逆向分析 7832
[原创]Worm.Parite.Residented 详细分析+专杀工具src 11238
[原创]BuildVersion V1.0 CrAcKeD 3584

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼楼主最近成果很多啊，学习。 2008-2-18 14:41 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 3 楼好好学习，天天向上。 2008-2-18 18:48 0
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 0 关注私信	安摧 2 4 楼不错好,难得啊辛苦了 2008-2-18 19:15 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 5 楼 vb+stolen code=0 支持 2008-2-18 19:38 0
iawen 雪币： 359 活跃值： (435) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 6 楼针对VB的程序，确实不错，谢谢楼主 2008-2-18 20:03 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 7 楼不错学习了好东西vb 2008-2-19 20:50 0
zhangjunyu 雪币： 102 能力值： (RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	zhangjunyu 8 楼很高兴能见到传说中的yangjt大侠！我膜拜你楼主 2008-2-20 11:43 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 9 楼楼主最近成果很多啊，学习。 2008-2-20 15:27 0
tjszlqq 雪币： 1353 活跃值： (2336) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 885 粉丝 2 关注私信	tjszlqq 1 10 楼顶！楼主想不到这么快就搞到精华了，不错！ 2008-2-21 09:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复