[求助]急：关于内存注册机的脱壳过程发生问题再次求助-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]急：关于内存注册机的脱壳过程发生问题再次求助 0.00雪花

发表于: 2008-5-20 10:34 5784

[旧帖] [求助]急：关于内存注册机的脱壳过程发生问题再次求助 0.00雪花

pwjno

2008-5-20 10:34

5784

之前已发过贴求助，以为已经解决了，后来才发现问题依然存在。现再次发贴求助。
本人想对一个keymake制做的内存注册机脱壳。
方法：
先用PEID检查一下，发现是UPX-Scrambler RC1.x -> [Overlay]，这个壳是UPX的变形壳，我们先来脱壳，这个可以用工具upx-ripper轻松脱调。脱后能正常运行。
然后再拉到PEID查看一下，显示“什么都没找到 [Overlay] *，发现存在数据附加的问题。

然后开始修复附加数据：
用OD装入脱壳以后的文件，然后按Ctrl+F,输入sub eax,4800查找，记得选上“在全部区段”，找到以后我们直接汇编，把4800修改为9200，然后往下看，
还有一个语句push 4800也修改为push 9200,然后就可以
保存文件了，运行，一切正常～～

修复原理：
大家可以先用LORDPE打开脱壳以前的注册机的最后一个.rsrc区段，点右键用16进制编辑，把滚动条往下拉到底就会看见一些附加数据，这些包括了目标软件名，断点地址等等重要信息，可以发现00004800是附加数据的开始地址，然后我们用同样的方法打开脱壳后的注册机，发现附加数据的开始地址变为了00009200，所以问题就在这里它找不到正确的数据，当然不能运行拉，我们把地址一修改过来，就一切OK了～～～～

本以为已经成功脱壳和修复附加数据，但再次把修复后的程序拉到PEID下一看，依然提示：
什么都没找到 [Overlay] *，即附加数据问题并没有解决。晕了，求高手指点。

不好意思，刚才原版的程序上传错了。现重新改过来了。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

(脱壳后）内存注册机.rar （13.64kb，10次下载）
（原版）内存注册机.rar （14.19kb，10次下载）

收藏・2

免费・0

支持

最新回复 (17)
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 2 楼附件里是内存注册机，可能有些杀软会误判为病毒。 2008-5-20 10:39 0
venuszwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	venuszwh 3 楼兄弟我可以正常脱壳脱完后72k，可以正常运行，另外附加数据是从4800开始的， 2008-5-20 10:59 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 4 楼楼上的兄弟是怎么脱的？附加数据的确是从4800开始的。但我试过把原文件的4800开始的附加数据复制到脱壳后的程序里面，问题一样存在啊。请楼上的兄弟能解答一下，不胜感激。谢谢 2008-5-20 11:14 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 5 楼我脱完后也可以运行，但peid显示还是“什么都没找到 [Overlay] *，很不明白 2008-5-20 11:16 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 6 楼在线等高手指点，谢谢。 2008-5-20 11:18 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 7 楼只要你脱得可以正常运行就行了。PEID识别不出只是因为这个内存注册机是使用汇编写的，汇编书写的格式自由性很大，程序入口特征码和其他高级语言写的程序不同，不好定位，所以PEID才识别不出而已。这是正常现象。 2008-5-20 11:27 0
venuszwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	venuszwh 8 楼呵呵兄弟单步走就可以了 2008-5-20 11:29 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 9 楼兄弟你脱掉是72K，为什么我脱掉是36K左右呢？相差这么大？请说一下你的方法如何，谢谢。 2008-5-20 11:32 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 10 楼但现在存在问题是，我这样脱的方法到底对不对？主要是我对脱壳后的内存注册机用幻影2。33试着加了一下壳后，运行提示程序错误。到底是什么原因？请教了 2008-5-20 11:36 0
venuszwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	venuszwh 11 楼 od载入 0040DA7F > 90 NOP 0040DA80 61 POPAD 0040DA81 BE 00B04000 MOV ESI,（原版）.0040B000 0040DA86 8DBE 0060FFFF LEA EDI,DWORD PTR DS:[ESI+FFFF6000] 然后一直单步向下 0040DBC6 09C0 OR EAX,EAX 0040DBC8 74 07 JE SHORT （原版）.0040DBD1 0040DBCA 8903 MOV DWORD PTR DS:[EBX],EAX 0040DBCC 83C3 04 ADD EBX,4 0040DBCF ^ EB D8 JMP SHORT （原版）.0040DBA9 0040DBD1 FF96 78E50000 CALL DWORD PTR DS:[ESI+E578] 0040DBD7 60 PUSHAD 0040DBD8 - E9 AA4AFFFF JMP （原版）.00402687 跳到oep 00402687 8D4424 F8 LEA EAX,DWORD PTR SS:[ESP-8] //这里脱壳 0040268B 64:8705 0000000>XCHG DWORD PTR FS:[0],EAX 00402692 BB D5264000 MOV EBX,（原版）.004026D5 00402697 8925 58544000 MOV DWORD PTR DS:[405458],ESP 0040269D 53 PUSH EBX 2008-5-20 11:39 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 12 楼兄弟，谢谢了，又学到东西。再有个要求，能把你的脱后的程序传上来吗？，我在电脑测试看看，仔细研究一下。谢谢。 2008-5-20 11:41 0
venuszwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	venuszwh 13 楼兄弟不好意思权限不够呵呵 2008-5-20 11:48 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 14 楼 to pwjno你的脱壳方式是对的，你的文件大小和他脱的不一样是因为你是使用脱壳机脱的壳，脱壳机对脱壳后的程序进行优化过，所以你脱的文件比较小。你加幻影不成功的应该是其它因素造成的（如可能也是附加数据引起的，貌似有些加壳软件对有附加数据的程序不好加壳），但你脱的壳是脱成功的了。 2008-5-20 11:51 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 15 楼谢谢大侠的热情解答。但不是说附加数据的问题我已经解决了吗？就是说没有附加数据了啊。怎么说”又可能也是附加数据引起的，貌似有些加壳软件对有附加数据的程序不好加壳”，还是不太明白啊。 2008-5-20 12:04 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 16 楼兄弟，能从QQ传给我吗？51352418，在线等。感谢就一个字。 2008-5-20 12:06 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 17 楼我用幻影2。33和EXECryptor分别对脱壳后的注册机加壳，运行失败，不知为什么？请问高手还有哪些有加注册限制功能的好壳介绍？在线等解答。谢 2008-5-20 14:39 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 18 楼我用幻影2。33和EXECryptor分别对脱壳后的注册机加壳，运行失败，不知为什么？请问高手还有哪些有加注册限制功能的好壳介绍？在线等解答。谢谢 2008-5-20 14:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pwjno

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 2 楼附件里是内存注册机，可能有些杀软会误判为病毒。 2008-5-20 10:39 0
venuszwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	venuszwh 3 楼兄弟我可以正常脱壳脱完后72k，可以正常运行，另外附加数据是从4800开始的， 2008-5-20 10:59 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 4 楼楼上的兄弟是怎么脱的？附加数据的确是从4800开始的。但我试过把原文件的4800开始的附加数据复制到脱壳后的程序里面，问题一样存在啊。请楼上的兄弟能解答一下，不胜感激。谢谢 2008-5-20 11:14 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 5 楼我脱完后也可以运行，但peid显示还是“什么都没找到 [Overlay] *，很不明白 2008-5-20 11:16 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 6 楼在线等高手指点，谢谢。 2008-5-20 11:18 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 7 楼只要你脱得可以正常运行就行了。PEID识别不出只是因为这个内存注册机是使用汇编写的，汇编书写的格式自由性很大，程序入口特征码和其他高级语言写的程序不同，不好定位，所以PEID才识别不出而已。这是正常现象。 2008-5-20 11:27 0
venuszwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	venuszwh 8 楼呵呵兄弟单步走就可以了 2008-5-20 11:29 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 9 楼兄弟你脱掉是72K，为什么我脱掉是36K左右呢？相差这么大？请说一下你的方法如何，谢谢。 2008-5-20 11:32 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 10 楼但现在存在问题是，我这样脱的方法到底对不对？主要是我对脱壳后的内存注册机用幻影2。33试着加了一下壳后，运行提示程序错误。到底是什么原因？请教了 2008-5-20 11:36 0
venuszwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	venuszwh 11 楼 od载入 0040DA7F > 90 NOP 0040DA80 61 POPAD 0040DA81 BE 00B04000 MOV ESI,（原版）.0040B000 0040DA86 8DBE 0060FFFF LEA EDI,DWORD PTR DS:[ESI+FFFF6000] 然后一直单步向下 0040DBC6 09C0 OR EAX,EAX 0040DBC8 74 07 JE SHORT （原版）.0040DBD1 0040DBCA 8903 MOV DWORD PTR DS:[EBX],EAX 0040DBCC 83C3 04 ADD EBX,4 0040DBCF ^ EB D8 JMP SHORT （原版）.0040DBA9 0040DBD1 FF96 78E50000 CALL DWORD PTR DS:[ESI+E578] 0040DBD7 60 PUSHAD 0040DBD8 - E9 AA4AFFFF JMP （原版）.00402687 跳到oep 00402687 8D4424 F8 LEA EAX,DWORD PTR SS:[ESP-8] //这里脱壳 0040268B 64:8705 0000000>XCHG DWORD PTR FS:[0],EAX 00402692 BB D5264000 MOV EBX,（原版）.004026D5 00402697 8925 58544000 MOV DWORD PTR DS:[405458],ESP 0040269D 53 PUSH EBX 2008-5-20 11:39 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 12 楼兄弟，谢谢了，又学到东西。再有个要求，能把你的脱后的程序传上来吗？，我在电脑测试看看，仔细研究一下。谢谢。 2008-5-20 11:41 0
venuszwh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	venuszwh 13 楼兄弟不好意思权限不够呵呵 2008-5-20 11:48 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 14 楼 to pwjno你的脱壳方式是对的，你的文件大小和他脱的不一样是因为你是使用脱壳机脱的壳，脱壳机对脱壳后的程序进行优化过，所以你脱的文件比较小。你加幻影不成功的应该是其它因素造成的（如可能也是附加数据引起的，貌似有些加壳软件对有附加数据的程序不好加壳），但你脱的壳是脱成功的了。 2008-5-20 11:51 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 15 楼谢谢大侠的热情解答。但不是说附加数据的问题我已经解决了吗？就是说没有附加数据了啊。怎么说”又可能也是附加数据引起的，貌似有些加壳软件对有附加数据的程序不好加壳”，还是不太明白啊。 2008-5-20 12:04 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 16 楼兄弟，能从QQ传给我吗？51352418，在线等。感谢就一个字。 2008-5-20 12:06 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 17 楼我用幻影2。33和EXECryptor分别对脱壳后的注册机加壳，运行失败，不知为什么？请问高手还有哪些有加注册限制功能的好壳介绍？在线等解答。谢 2008-5-20 14:39 0
pwjno 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	pwjno 18 楼我用幻影2。33和EXECryptor分别对脱壳后的注册机加壳，运行失败，不知为什么？请问高手还有哪些有加注册限制功能的好壳介绍？在线等解答。谢谢 2008-5-20 14:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复