[求助]PEBundle 2.0x - 2.4x-> Jeremy Collake [Overlay] 脱壳求助-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]PEBundle 2.0x - 2.4x-> Jeremy Collake [Overlay] 脱壳求助

发表于: 2008-7-6 00:54 10640

[求助]PEBundle 2.0x - 2.4x-> Jeremy Collake [Overlay] 脱壳求助

ddao

2008-7-6 00:54

10640

初学脱壳不久，说能帮忙说明怎么脱壳，参照网上教程多篇，始终无法手动脱壳。
或者帮忙脱壳发Email给我。(ccrack@126.com)
谢谢。

看了《ESP定律轻松搞定PEBundle 0.2 - 3.x 》

保护方式：PEBundle 0.2 - 3.x - Jeremy Collake

OD设置忽略全部异常设置,载入程序
00448000 d>  9C                pushfd
00448001    60                pushad ///esp=0012FFC0
00448002    E8 02000000       call dsmir3G1.00448009
00448007    33C0             xor eax,eax
00448009    8BC4             mov eax,esp
0044800B    83C0 04          add eax,4
0044800E    93                xchg eax,ebx
0044800F    8BE3             mov esp,ebx

hr 12FFC0,F9运行

最后找到这里和教程不一样。
00612DCA 68 29673C38    push 383C6729
00612DCF E8 AFB80800    call 网游助手.0069E683
00612DD4 68 707DBCC7    push C7BC7D70
00612DD9 E8 F8B40800    call 网游助手.0069E2D6
00612DDE 3E:3A8A A278078>cmp cl,byte ptr ds:[edx+830778A2]
00612DE5 40             inc eax
00612DE6 A6             cmps byte ptr ds:[esi],byte ptr es:[edi]
00612DE7 CD 67          int 67
....................................................................

/////////////////////////////////////////
原教程是这样的代码：
hr 12FFC0,F9运行
00442371    68 C0D14000       push dsmir3G1.0040D1C0
00442376    C3                retn
0040D1C0    60                pushad
0040D1C1    BE 00A04000       mov esi,dsmir3G1.0040A000
0040D1C6    8DBE 0070FFFF    lea edi,dword ptr ds:[esi+FFFF700>
0040D1CC    57                push edi
0040D1CD    83CD FF          or ebp,FFFFFFFF
0040D1D0    EB 10             jmp short dsmir3G1.0040D1E2
0040D1D2    90                nop
0040D1D3    90                nop
0040D1D4    90                nop
0040D1D5    90                nop
0040D1D6    90                nop
0040D1D7    90                nop
0040D1D8    8A06             mov al,byte ptr ds:[esi]
0040D1DA    46                inc esi
...............................................

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#软件保护

上传的附件：

网游助手.part1.rar （976.56kb，73次下载）
网游助手.part2.rar （355.60kb，57次下载）

收藏・4

免费・0

支持

最新回复 (12)
nbgj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 22 粉丝 0 关注私信	nbgj 2 楼这个好办,我可以给你试试.可以加我QQ:509277263 2008-7-7 10:42 0
mxqkx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	mxqkx 3 楼这个需要怎么弄啊？ 2008-8-2 00:49 0
studynow 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	studynow 4 楼我现在也弄了这个壳大侠帮我看看我已经找到了EOP 00416F12 /. 55 PUSH EBP 00416F13 \|. 8BEC MOV EBP,ESP 00416F15 \|. 6A FF PUSH -1 00416F17 \|. 68 806B4600 PUSH 单(连)开.00466B80 00416F1C \|. 68 76704100 PUSH 单(连)开.00417076 ; SE 处理程序安装 00416F21 \|. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 00416F27 \|. 50 PUSH EAX 00416F28 \|. 64:8925 00000>MOV DWORD PTR FS:[0],ESP 00416F2F \|. 83EC 68 SUB ESP,68 00416F32 \|. 53 PUSH EBX 00416F33 \|. 56 PUSH ESI 00416F34 \|. 57 PUSH EDI 00416F35 \|. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 00416F38 \|. 33DB XOR EBX,EBX 00416F3A \|. 895D FC MOV DWORD PTR SS:[EBP-4],EBX 00416F3D \|. 6A 02 PUSH 2 00416F3F \|. E8 3C841A00 CALL 单(连)开.005BF380 00416F44 \|. 90 NOP 00416F45 \|. 59 POP ECX 00416F46 \|. 830D 6CF44700>OR DWORD PTR DS:[47F46C],FFFFFFFF 00416F4D \|. 830D 70F44700>OR DWORD PTR DS:[47F470],FFFFFFFF 可是用inmport的时候输入oep 为 00416F12 提示我invalid eop，it does not matter in the process memory 2008-8-2 09:20 0
hackyxc 雪币： 401 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	hackyxc 5 楼不用脱壳直接干掉,这是捆绑壳子上传的附件： 0.jpg （25.58kb，510次下载） 2008-8-3 11:02 0
studynow 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	studynow 6 楼不脱掉？ 2008-8-4 14:53 0
zhenzhu 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	zhenzhu 7 楼看看这个是什么壳子 2008-8-4 16:03 0
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 8 楼我也遇到这个壳了,找到OEP之后,修复的时候IAT找不到,请问高手是查好多少才能查找到IAT 2008-9-11 09:33 0
小菜鸟一雪币： 1102 活跃值： (4182) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 9 楼应该是16F12吧 2008-9-12 13:38 0
lcfw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lcfw 10 楼不会吧，这也是个强壳啊，可以直接干掉？。。。能否指教一下。。。 2008-9-18 20:51 0
redacker 雪币： 208 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	redacker 11 楼我也遇到了这个问题-_-!不知道怎么弄 2008-9-19 10:40 0
wlbcq 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wlbcq 12 楼不用脱壳可以直接搞定为无限时间 QQ：17706740 2008-9-19 15:29 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 13 楼这个OEP我找到啦，是16E82，但是dum出来后双击不能没有反应，用PEID查看也是 Microsoft Visual C++ 6.0。主要是不好修复，Import REC弹出来对话框“Could not find anything good at this OEP”，不知道是怎么回事啊？大家有谁做出来了吗？欢迎和我：pku200809@163.com联系啊谢谢 2008-10-9 17:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ddao

发帖

118

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
nbgj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 22 粉丝 0 关注私信	nbgj 2 楼这个好办,我可以给你试试.可以加我QQ:509277263 2008-7-7 10:42 0
mxqkx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	mxqkx 3 楼这个需要怎么弄啊？ 2008-8-2 00:49 0
studynow 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	studynow 4 楼我现在也弄了这个壳大侠帮我看看我已经找到了EOP 00416F12 /. 55 PUSH EBP 00416F13 \|. 8BEC MOV EBP,ESP 00416F15 \|. 6A FF PUSH -1 00416F17 \|. 68 806B4600 PUSH 单(连)开.00466B80 00416F1C \|. 68 76704100 PUSH 单(连)开.00417076 ; SE 处理程序安装 00416F21 \|. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 00416F27 \|. 50 PUSH EAX 00416F28 \|. 64:8925 00000>MOV DWORD PTR FS:[0],ESP 00416F2F \|. 83EC 68 SUB ESP,68 00416F32 \|. 53 PUSH EBX 00416F33 \|. 56 PUSH ESI 00416F34 \|. 57 PUSH EDI 00416F35 \|. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 00416F38 \|. 33DB XOR EBX,EBX 00416F3A \|. 895D FC MOV DWORD PTR SS:[EBP-4],EBX 00416F3D \|. 6A 02 PUSH 2 00416F3F \|. E8 3C841A00 CALL 单(连)开.005BF380 00416F44 \|. 90 NOP 00416F45 \|. 59 POP ECX 00416F46 \|. 830D 6CF44700>OR DWORD PTR DS:[47F46C],FFFFFFFF 00416F4D \|. 830D 70F44700>OR DWORD PTR DS:[47F470],FFFFFFFF 可是用inmport的时候输入oep 为 00416F12 提示我invalid eop，it does not matter in the process memory 2008-8-2 09:20 0
hackyxc 雪币： 401 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	hackyxc 5 楼不用脱壳直接干掉,这是捆绑壳子上传的附件： 0.jpg （25.58kb，510次下载） 2008-8-3 11:02 0
studynow 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	studynow 6 楼不脱掉？ 2008-8-4 14:53 0
zhenzhu 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	zhenzhu 7 楼看看这个是什么壳子 2008-8-4 16:03 0
best坏小子雪币： 278 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	best坏小子 8 楼我也遇到这个壳了,找到OEP之后,修复的时候IAT找不到,请问高手是查好多少才能查找到IAT 2008-9-11 09:33 0
小菜鸟一雪币： 1102 活跃值： (4182) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 9 楼应该是16F12吧 2008-9-12 13:38 0
lcfw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lcfw 10 楼不会吧，这也是个强壳啊，可以直接干掉？。。。能否指教一下。。。 2008-9-18 20:51 0
redacker 雪币： 208 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	redacker 11 楼我也遇到了这个问题-_-!不知道怎么弄 2008-9-19 10:40 0
wlbcq 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wlbcq 12 楼不用脱壳可以直接搞定为无限时间 QQ：17706740 2008-9-19 15:29 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 13 楼这个OEP我找到啦，是16E82，但是dum出来后双击不能没有反应，用PEID查看也是 Microsoft Visual C++ 6.0。主要是不好修复，Import REC弹出来对话框“Could not find anything good at this OEP”，不知道是怎么回事啊？大家有谁做出来了吗？欢迎和我：pku200809@163.com联系啊谢谢 2008-10-9 17:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复