拿技术内幕中的壳改造了一下，大家脱壳试试。。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼老兄的附件没传上？不好脱的 :D 2004-10-21 20:48 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 3 楼补上附件：）附件:样本测试.rar 2004-10-21 20:54 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 4 楼参考!!! 2004-10-21 21:04 0
虾米壳雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	虾米壳 5 楼 98下不能运行。。。 2004-10-22 10:47 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 6 楼好多花指令和异常 2004-10-22 13:39 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 7 楼 :D 上缴源码先:p 2004-10-22 17:31 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 8 楼专门上来看一看这帖,看来还没有人搞定我也没搞定... :D :D :D 2004-10-25 12:20 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼估计要等 heXer、jwh51、hying …… 2004-10-25 13:12 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 10 楼建议以后做这种壳的测试时不要用notepad 用加壳工具自身做测试会有更多的人有兴趣来玩的 2004-10-26 10:22 0
CoDe_Inject 雪币： 229 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	CoDe_Inject 11 楼 :D 2004-10-26 10:39 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 12 楼最初由 heXer 发布建议以后做这种壳的测试时不要用notepad 用加壳工具自身做测试会有更多的人有兴趣来玩的好建议...:D :) 2004-10-26 15:05 0
CoDe_Inject 雪币： 229 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	CoDe_Inject 13 楼看了看,seh用的太僵硬. 只需修复call api即可. 简单的可以以壳解壳,完美点可以看看算法: call_api: loc_3A3FC5: seg000:003A3FE3 loc_3A3FE3: ; CODE XREF: seg000:003A3FDBj seg000:003A3FE3 ; seg000:003A3FDEj seg000:003A3FE3 60 pusha seg000:003A3FE4 E8 24 00 00 00 call sub_3A400D seg000:003A4077 BD 92 01 00 00 mov ebp, 192h seg000:003A407C BE 43 4D 3A 00 mov esi, 3A4D43h ;地址表起始地址 seg000:003A4222 ; seg000:003A421Dj seg000:003A4222 8B 7C 24 28 mov edi, [esp+28h] ;用堆栈压入的数值判断是从那个call过来的 seg000:003A423F 33 DB xor ebx, ebx seg000:003A4172 loc_3A4172: ; CODE XREF: seg000:003A416Ej seg000:003A4172 33 C9 xor ecx, ecx seg000:003A4235 33 D2 xor edx, edx seg000:003A4094 8B DD mov ebx, ebp seg000:003A40DF D1 EB shr ebx, 1 seg000:003A4192 8B 04 DE mov eax, [esi+ebx8] ;read one seg000:003A419A 35 32 35 71 37 xor eax, 37713532h ;xor seg000:003A41C2 B9 02 00 00 00 mov ecx, 2 seg000:003A4167 F7 E1 mul ecx seg000:003A41CF D1 E8 shr eax, 1 ;shr seg000:003A41E2 3B C7 cmp eax, edi ;cmp seg000:003A41F2 77 88 ja short loc_3A417C ;again seg000:003A41F9 0F 82 14 FF FF FF jb loc_3A4113 ;xxxx->again seg000:003A41E9 8B 44 DE 04 mov eax, [esi+ebx8+4] ;找到了,开始运算 seg000:003A41D6 33 04 DE xor eax, [esi+ebx*8] ; start here;xor 第一组值 seg000:003A422B D1 C8 ror eax, 1 seg000:003A40D5 35 32 35 71 37 xor eax, 37713532h seg000:003A40E6 C1 C8 02 ror eax, 2 seg000:003A40B9 35 32 35 71 37 xor eax, 37713532h seg000:003A4118 C1 C8 03 ror eax, 3 seg000:003A4132 35 32 35 71 37 xor eax, 37713532h ; end seg000:003A4088 89 44 24 24 mov [esp+24h], eax seg000:003A42AB 80 FA 00 cmp dl, 0 seg000:003A42AE 61 popa seg000:003A42AF 74 03 jz short loc_3A42B4 ; goto API seg000:003A42B1 83 C4 04 add esp, 4 seg000:003A42B4 seg000:003A42B4 loc_3A42B4: ; CODE XREF: seg000:003A42AFj seg000:003A42B4 FF 20 jmp dword ptr [eax] ; goto API 这样可以在dump后的文件中搜索call call_api,然后查表恢复了 2004-10-27 12:41 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 14 楼解码算法是这样的：） 2004-10-27 13:07 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 15 楼 CoDe_Inject 老大的秘密武器啥时正式“竣工”？ :D 2004-10-27 15:19 0
CoDe_Inject 雪币： 229 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	CoDe_Inject 16 楼 :( 已经基本流产杂事太多了 2004-10-27 15:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 17 楼可惜可惜不过我相信你是不会放弃的 2004-10-27 21:00 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 18 楼 code_inject的话10句信1句就行了老写病毒的碰上老分析病毒的就是... 2004-10-28 18:43 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 19 楼哪位老大搞定了，请写个教程让菜鸟们学学。 2004-11-2 14:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

雪币： 898

活跃值： (4039)

能力值：

( LV9，RANK：3410 )

在线值：

发帖

294

回帖

7686

粉丝

32

关注

私信

fly 85: 2 楼

老兄的附件没传上？
不好脱的 :D

2004-10-21 20:48

0

vcasm

雪币： 260

活跃值： (162)

能力值：

( LV4，RANK：50 )

在线值：

发帖

26

回帖

360

粉丝

2

关注

私信

vcasm 1: 3 楼

补上附件：）
附件:样本测试.rar

2004-10-21 20:54

0

linhanshi

雪币： 93908

活跃值： (200199)

能力值：

(RANK：10 )

在线值：

发帖

9213

回帖

27805

粉丝

446

关注

私信

linhanshi: 4 楼

参考!!!

2004-10-21 21:04

0

虾米壳

雪币： 200

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

2

粉丝

0

关注

私信

虾米壳: 5 楼

98下不能运行。。。

2004-10-22 10:47

0

xIkUg

雪币： 116

活跃值： (220)

能力值：

( LV12，RANK：370 )

在线值：

发帖

27

回帖

675

粉丝

4

关注

私信

xIkUg 9: 6 楼

好多花指令和异常

2004-10-22 13:39

0

loveboom

雪币： 513

活跃值： (2258)

能力值：

( LV9，RANK：2130 )

在线值：

发帖

100

回帖

687

粉丝

10

关注

私信

loveboom 53: 7 楼

:D
上缴源码先:p

2004-10-22 17:31

0

xIkUg

雪币： 116

活跃值： (220)

能力值：

( LV12，RANK：370 )

在线值：

发帖

27

回帖

675

粉丝

4

关注

私信

xIkUg 9: 8 楼

专门上来看一看这帖,看来还没有人搞定

我也没搞定...

:D :D :D

2004-10-25 12:20

0

fly

雪币： 898

活跃值： (4039)

能力值：

( LV9，RANK：3410 )

在线值：

发帖

294

回帖

7686

粉丝

32

关注

私信

fly 85: 9 楼

估计要等 heXer、jwh51、hying ……

2004-10-25 13:12

0

heXer

雪币： 254

活跃值： (126)

能力值：

( LV8，RANK：130 )

在线值：

发帖

12

回帖

802

粉丝

2

关注

私信

heXer 3: 10 楼

建议以后做这种壳的测试时不要用notepad
用加壳工具自身做测试会有更多的人有兴趣来玩的

2004-10-26 10:22

0

CoDe_Inject

雪币： 229

活跃值： (40)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

32

粉丝

0

关注

私信

CoDe_Inject: 11 楼

:D

2004-10-26 10:39

0

xIkUg

雪币： 116

活跃值： (220)

能力值：

( LV12，RANK：370 )

在线值：

发帖

27

回帖

675

粉丝

4

关注

私信

xIkUg 9: 12 楼

最初由 heXer 发布
建议以后做这种壳的测试时不要用notepad
用加壳工具自身做测试会有更多的人有兴趣来玩的

好建议...:D :)

2004-10-26 15:05

0

CoDe_Inject

雪币： 229

活跃值： (40)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

32

粉丝

0

关注

私信

CoDe_Inject: 13 楼

看了看,seh用的太僵硬.
只需修复call api即可.
简单的可以以壳解壳,完美点可以看看算法:

call_api:
     loc_3A3FC5:   
seg000:003A3FE3                   loc_3A3FE3:                             ; CODE XREF: seg000:003A3FDBj
seg000:003A3FE3                                                           ; seg000:003A3FDEj
seg000:003A3FE3 60                                pusha
seg000:003A3FE4 E8 24 00 00 00                    call    sub_3A400D
seg000:003A4077 BD 92 01 00 00                    mov     ebp, 192h
seg000:003A407C BE 43 4D 3A 00                    mov     esi, 3A4D43h  ;地址表起始地址
seg000:003A4222                                                           ; seg000:003A421Dj
seg000:003A4222 8B 7C 24 28                       mov     edi, [esp+28h]        ;用堆栈压入的数值判断是从那个call过来的
seg000:003A423F 33 DB                             xor     ebx, ebx
seg000:003A4172                   loc_3A4172:                             ; CODE XREF: seg000:003A416Ej
seg000:003A4172 33 C9                             xor     ecx, ecx
seg000:003A4235 33 D2                             xor     edx, edx
seg000:003A4094 8B DD                             mov     ebx, ebp
seg000:003A40DF D1 EB                             shr     ebx, 1
seg000:003A4192 8B 04 DE                          mov     eax, [esi+ebx*8]      ;read one
seg000:003A419A 35 32 35 71 37                    xor     eax, 37713532h        ;xor
seg000:003A41C2 B9 02 00 00 00                    mov     ecx, 2
seg000:003A4167 F7 E1                             mul     ecx
seg000:003A41CF D1 E8                             shr     eax, 1                ;shr
seg000:003A41E2 3B C7                             cmp     eax, edi              ;cmp
seg000:003A41F2 77 88                             ja      short loc_3A417C      ;again
seg000:003A41F9 0F 82 14 FF FF FF                 jb      loc_3A4113            ;xxxx->again
seg000:003A41E9 8B 44 DE 04                       mov     eax, [esi+ebx*8+4]    ;找到了,开始运算
seg000:003A41D6 33 04 DE                          xor     eax, [esi+ebx*8] ; start here;xor 第一组值
seg000:003A422B D1 C8                             ror     eax, 1
seg000:003A40D5 35 32 35 71 37                    xor     eax, 37713532h
seg000:003A40E6 C1 C8 02                          ror     eax, 2
seg000:003A40B9 35 32 35 71 37                    xor     eax, 37713532h
seg000:003A4118 C1 C8 03                          ror     eax, 3
seg000:003A4132 35 32 35 71 37                    xor     eax, 37713532h  ; end
seg000:003A4088 89 44 24 24                       mov     [esp+24h], eax
seg000:003A42AB 80 FA 00                          cmp     dl, 0
seg000:003A42AE 61                                popa
seg000:003A42AF 74 03                             jz      short loc_3A42B4 ; goto API
seg000:003A42B1 83 C4 04                          add     esp, 4
seg000:003A42B4
seg000:003A42B4                   loc_3A42B4:                             ; CODE XREF: seg000:003A42AFj
seg000:003A42B4 FF 20                             jmp     dword ptr [eax] ; goto API

这样可以在dump后的文件中搜索call call_api,然后查表恢复了

2004-10-27 12:41

0