-
-
[旧帖] [分享]EXECryptor V2.2X-V2.4X -> StrongBit Technology * Sign.By.fly *脱壳 0.00雪花
-
发表于: 2008-10-25 12:00
-
[旧帖] [分享]EXECryptor V2.2X-V2.4X -> StrongBit Technology * Sign.By.fly *脱壳 0.00雪花
2008-10-25 12:00
第1次发贴呀...刚学脱壳不久...请指教...EXECryptor V2.2X-V2.4X -> StrongBit Technology * Sign.By.fly *
在网上看到几位大虾做的一些有关这个壳的脱壳方法,脱得不是很干净...(
见谅呀...有可能是我看不出来..呵呵...),昨晚试了一下,成功了,现在分享一下,要用到下面的OD脚本EXECryptor 2.x OEP+IAT .txt 引用脚本中的注释...网上都有,找下..
//////////////////////////////////////////////////////////////////////
// EXECryptor 2.x OEP+IAT
// -------------------------------------------------------------
// 声明:该脚本代码来自okdodo、PE_Kill二位大侠!
// 本人只是合并成一个脚本,一次完成OEP+IAT。
// 感谢他们的劳动。
//
//Test Environment : Ollyice v1.1 + HideOD v0.17
// ODBGScript v1.53 under WINXP
//Thanks :
// kanxue - author of HideOD v0.17
// hnhuqiong - author of ODbgScript v1.53
//////////////////////////////////////////////////////////////////////
好了,开始吧,我朋友给我一个外挂程式ZxTools_V3.72A,就是上面那个壳;
(1)设置OD,事件->系统断点;
(2)加载ZxTools.exe,呵呵,ntdll....没有进到Zxtools里,停在
7C921231 C3 RETN
7C921232 8BFF MOV EDI,EDI
7C921234 90 NOP
(3)运行OD脚本,EXECryptor 2.x OEP+IAT .txt(感谢呀..这个太好用了...)
(4)弹出的"请修改IAT地址"时,点[取消],停在下面..
0064C876 E8 E262EDFF CALL ZxTools.00522B5D ; True or fake OEP!
0064C87B 51 PUSH ECX
0064C87C 68 0B4F1DAD PUSH AD1D4F0B
0064C881 59 POP ECX
0064C882 81C1 52137318 ADD ECX,18731352
0064C888 81F1 60ECEB03 XOR ECX,3EBEC60
0064C88E 81C1 7F5DE739 ADD ECX,39E75D7F
0064C894 870C24 XCHG DWORD PTR SS:[ESP],ECX
0064C897 ^ E9 3313FEFF JMP ZxTools.0062DBCF
0064C89C C3 RETN
0064C89D ^ E9 6F20FDFF JMP ZxTools.0061E911
0064C8A2 E8 EF77FDFF CALL ZxTools.00624096
0064C8A7 C2 477D RETN 7D47
0064C8AA C3 RETN
0064C8AB E8 FEFFFDFF CALL ZxTools.0062C8AE
0064C8B0 EA D9FE5734 06B>JMP FAR B006:3457FED9 ; 远跳转
0064C8B7 C153 68 F8 RCL DWORD PTR DS:[EBX+68],0F8 ; 位移常数超出 1..31 的范围
(5)接下来一直按F8,跟到下面, 很明显的 Delphi 程式..
00507CC8 55 PUSH EBP
00507CC9 8BEC MOV EBP,ESP
00507CCB 83C4 E4 ADD ESP,-1C
00507CCE 53 PUSH EBX
00507CCF 33C0 XOR EAX,EAX
00507CD1 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX
00507CD4 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX
00507CD7 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
00507CDA B8 F8765000 MOV EAX,ZxTools.005076F8
00507CDF E8 50F0EFFF CALL ZxTools.00406D34
00507CE4 33C0 XOR EAX,EAX
00507CE6 55 PUSH EBP
00507CE7 68 C67D5000 PUSH ZxTools.00507DC6
00507CEC 64:FF30 PUSH DWORD PTR FS:[EAX]
00507CEF 64:8920 MOV DWORD PTR FS:[EAX],ESP
00507CF2 A1 D4EE5000 MOV EAX,DWORD PTR DS:[50EED4]
00507CF7 8B00 MOV EAX,DWORD PTR DS:[EAX]
00507CF9 E8 D623F7FF CALL ZxTools.0047A0D4
00507CFE 8D55 EC LEA EDX,DWORD PTR SS:[EBP-14]
00507D01 B8 DC7D5000 MOV EAX,ZxTools.00507DDC ; ASCII "e0VEOEZEODc1LUI4N0ItNEE4Mi1BNUQ1LThFQjkwRTY5REEzMn0="
00507D06 E8 4526FEFF CALL ZxTools.004EA350
(5)点"用ollydump脱壳调试进程",OK了......都用不到ImportREC...
附件上传不了,...Zxtools.exe是诛仙的外挂,网上搜下吧...
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
今天我又试了一下手动脱EXECryptor V2.2X-V2.4X
 一直弄不出来,后来我用PEID v0.94(小生我怕怕专用版)我用的是这个,点插件里的[查找程序OEP],一下子就找到OEP地址:00507CC8,这个不就是与我先前找到的OEP一模一样吗。。。 浪费这么多时间,原来用PEID就可以搞定了。。。哎。。。。这下,这个壳都脱得了了。。。
|
|
|
|
|
|
[QUOTE=xbkxbk;526940]今天我又试了一下手动脱EXECryptor V2.2X-V2.4X
一直弄不出来,后来我用PEID v0.94(小生我怕怕专用版)我用的是这个,点插件里的[查找程序OEP],一下子就找到OEP地址:00507CC8,这个不就是与我先前找到的OEP一模一样吗。。。 浪费这么多时...[/QUOTE]牛淫啊,你是手脱还是脚本的啊! 如果是脚本的话那就对的,如果不是就用Unpacker ExeCryptor RC2试下吧! |
|
|
|
|
|
|
