未知壳脱壳――Skype V1.0.4.106多国语言版-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

未知壳脱壳――Skype V1.0.4.106多国语言版

发表于: 2004-11-29 15:23 7622

未知壳脱壳――Skype V1.0.4.106多国语言版

fly

2004-11-29 15:23

7622

.

下载页面：  http://www.skype.com/
软件大小：  10599 KB
软件语言：  英文
软件类别：  国外软件 / 共享版 / 聊天工具
应用平台：  Win9x/NT/2000/XP
加入时间：  2004-11-25 17:47:30
下载次数：  71659
推荐等级：  ****
软件介绍：  一种简单的免费软件，使您能够在数分钟之内在世界上的任何角落拨打免费电话。 Skype 是 KaZaA 开发人员的又一杰作，它使用全新的 P2P（对等）技术将您与其他 Skype 用户相连接。如果您已厌倦支付极不合理的电话服务费，那么 Skype 是您的解决之道！Skype可以快速简便地装入您的电脑。您只需下载并注册，在数分钟之内，您便可以使用 PC 耳机通过 Skype 与您的朋友通电话。 Skype 通话具有非常好的音质，双方通话采用密码传送方式，高度安全可靠。最好的一点是，Skype 无需您重新配置防火墙或路由器便可正常工作！

【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教！

【调试环境】：WinXP、Ollydbg、LordPE、ImportREC、WinHex

―――――――――――――――――――――――――――――――――
【脱壳过程】：


这个东东也算是加壳了？只是一段解码而已，IAT没有加密。

005A1050    B9 E6105A00    mov ecx,Skype.005A10E6
//进入Ollydbg后暂停在这
005A1055    B8 69105A00    mov eax,Skype.005A1069
005A105A    29C1             sub ecx,eax
005A105C    BB 12120320    mov ebx,20031212
005A1061    301C01          xor byte ptr ds:[ecx+eax],bl
005A1064    C1C3 03          rol ebx,3
005A1067    E2 F8          loopd short Skype.005A1061
//解出下面代码
005A1069    BA 00104000    mov edx,Skype.00401000
005A106E    31C9             xor ecx,ecx
005A1070    BB 41403938    mov ebx,38394041
005A1075    81FA 50105A00    cmp edx,Skype.<ModuleEntryPoint>
005A107B    75 05          jnz short Skype.005A1082
005A107D    BA FC4F5B00    mov edx,Skype.005B4FFC
005A1082    52             push edx
005A1083    68 A08E9E8B    push 8B9E8EA0
005A1088    52             push edx
005A1089    68 31A23101    push 131A231
005A108E    FF32             push dword ptr ds:[edx]
005A1090    E8 1B020000    call Skype.005A12B0
005A1095    5A             pop edx
005A1096    8902             mov dword ptr ds:[edx],eax
005A1098    81FA 007CBE00    cmp edx,Skype.00BE7C00
005A109E    74 05          je short Skype.005A10A5
005A10A0    83C2 04          add edx,4
005A10A3    EB D0          jmp short Skype.005A1075
//循环解码
005A10A5    E8 26010000    call Skype.005A11D0
//还会检测一下SoftICE
005A10AA    84C0             test al,al
005A10AC    74 1C          je short Skype.005A10CA
005A10AE    6A 00          push 0
005A10B0    FF35 64BDBE00    push dword ptr ds:[BEBD64]  ; Skype.005A1008
005A10B6    FF35 68BDBE00    push dword ptr ds:[BEBD68]  ; Skype.005A1010
005A10BC    6A 00          push 0
005A10BE    E8 9574E6FF    call <jmp.&user32.MessageBoxA>
005A10C3    6A 01          push 1
005A10C5    E8 4668E6FF    call <jmp.&kernel32.ExitProcess>
005A10CA    BA 011E1600    mov edx,161E01
005A10CF    81C2 0B52A800    add edx,Skype.00A8520B
//EDX=00161E01+00A8520B=00BE700C  ★  OEP值
005A10D5    52             push edx                   ; Skype.00BE700C
005A10D6    BF 50105A00    mov edi,Skype.<ModuleEntryPoint>
005A10DB    B9 E6105A00    mov ecx,Skype.005A10E6
005A10E0    29F9             sub ecx,edi
005A10E2    31C0             xor eax,eax
005A10E4    F3:AA          rep stos byte ptr es:[edi]
//清扫战场
005A10E6    E8 113F0100    call Skype.005B4FFC
005A10EB    E8 B4FEFFFF    call Skype.005A0FA4
005A10F0    C3             retn
//飞向光明之巅！  返回OEP

00BE700C    55             push ebp
//用LordPE完全DUMP这个进程
00BE700D    8BEC             mov ebp,esp
00BE700F    B9 11000000    mov ecx,11
00BE7014    6A 00          push 0
00BE7016    6A 00          push 0
00BE7018    49             dec ecx
00BE7019    75 F9          jnz short Skype.00BE7014
00BE701B    53             push ebx
00BE701C    56             push esi
00BE701D    57             push edi
00BE701E    B8 4467BE00    mov eax,Skype.00BE6744
00BE7023    E8 800582FF    call Skype.004075A8

可以运行ImportREC来修复输入表。IATRVA=007FB230，IATSize=00000AF0
也可以用WinHex自原版复制出IAT部分写进脱壳后的程序，修正OEP即可。

―――――――――――――――――――――――――――――――――

      ,    _/
      /| _.-~/          \_    ,       青春都一晌
   ( /~ /             \~-._ |\
   `\\  _/             \ ~\ )       忍把浮名
_-~~~-.)  )__/;;,.       \_  //'
  /'_,\ --~ \ ~~~-  ,;;\___(  (.-~~~-.       换了破解轻狂
`~ _( ,_..--\ (    ,;'' / ~-- /._`\
  /~~//' /' `~\       ) /--.._, )_  `~
  "  `~"  "    `"    /~'`\ `\\~~\
                     "    " "~'  ""

            UnPacked By :  fly
            2004-11-29 15:00

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・1

支持

最新回复 (10)
jlike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jlike 2 楼 :) :) 感谢版主！ 2004-11-29 15:45 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 3 楼请问版主，RVA怎么成了007FB230 2004-11-29 15:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 IATRVA=007FB230，IATSize=00000AF0 是ImportREC用到的数据 2004-11-29 16:18 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 5 楼没错，ne的最麻烦，当年我为了破解ne格式的万能五笔（老版本了），花了一个月，需要练手的跟我联系。 2004-11-30 00:43 0
jlike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jlike 6 楼楼主能否把解好的skype放上来参考一下。脱壳是不是很难啊，总也找不到要领 2004-12-7 18:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼流程比较清楚了用Ollydbg+ImportREC几分钟就可以搞定自己做一下，没必要放UnPacked 2004-12-7 19:22 0
jlike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jlike 8 楼 skype没脱掉壳，可能是我在操作中的问题下边是我脱skype时候的过程（1）OllyDbg打开skype，通过设断点直接到00BE700C （2）启动LordPE，完整dump...，文件大小11,106,141 字节（3）启动OllyDbg打开dumped.exe （4）启动ImportREC，选中dumped.exe进程，填入IATRVA=007FB230，IATSize=00000AF0，点击“获取输入表”，点击“修复抓取文件”，选择dumped.exe。此时ImportREC变的没有响应（5）我关掉OllyDbg，此时ImportREC恢复响应，弹出警告对话框“IAT is still invalid. you have to fix manually all unresolved points”。日志中表示：dumped_.exe修复完成并已经保存（6）双击“dumped_.exe”，系统提示问题报告，无法启动。可能是我操作不熟，某个地方出了问题请fly指导！ 2004-12-9 21:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼启动ImportREC，选中的是正在OllyDbg中调试的skype原进程祝好运 2004-12-9 21:52 0
lihai3330 雪币： 159 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 215 粉丝 0 关注私信	lihai3330 10 楼虽然成功了，但是不知道 IATRVA=007FB230，IATSize=00000AF0 是怎么来的？ import自动获取的是这个呀？？ 007F0F70 00000A24 2004-12-9 22:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 11 楼随便找个输入表函数调用转存中查看开始和结束地址 2004-12-9 22:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
jlike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jlike 2 楼 :) :) 感谢版主！ 2004-11-29 15:45 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 3 楼请问版主，RVA怎么成了007FB230 2004-11-29 15:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 IATRVA=007FB230，IATSize=00000AF0 是ImportREC用到的数据 2004-11-29 16:18 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 5 楼没错，ne的最麻烦，当年我为了破解ne格式的万能五笔（老版本了），花了一个月，需要练手的跟我联系。 2004-11-30 00:43 0
jlike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jlike 6 楼楼主能否把解好的skype放上来参考一下。脱壳是不是很难啊，总也找不到要领 2004-12-7 18:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼流程比较清楚了用Ollydbg+ImportREC几分钟就可以搞定自己做一下，没必要放UnPacked 2004-12-7 19:22 0
jlike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jlike 8 楼 skype没脱掉壳，可能是我在操作中的问题下边是我脱skype时候的过程（1）OllyDbg打开skype，通过设断点直接到00BE700C （2）启动LordPE，完整dump...，文件大小11,106,141 字节（3）启动OllyDbg打开dumped.exe （4）启动ImportREC，选中dumped.exe进程，填入IATRVA=007FB230，IATSize=00000AF0，点击“获取输入表”，点击“修复抓取文件”，选择dumped.exe。此时ImportREC变的没有响应（5）我关掉OllyDbg，此时ImportREC恢复响应，弹出警告对话框“IAT is still invalid. you have to fix manually all unresolved points”。日志中表示：dumped_.exe修复完成并已经保存（6）双击“dumped_.exe”，系统提示问题报告，无法启动。可能是我操作不熟，某个地方出了问题请fly指导！ 2004-12-9 21:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼启动ImportREC，选中的是正在OllyDbg中调试的skype原进程祝好运 2004-12-9 21:52 0
lihai3330 雪币： 159 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 215 粉丝 0 关注私信	lihai3330 10 楼虽然成功了，但是不知道 IATRVA=007FB230，IATSize=00000AF0 是怎么来的？ import自动获取的是这个呀？？ 007F0F70 00000A24 2004-12-9 22:32 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 11 楼随便找个输入表函数调用转存中查看开始和结束地址 2004-12-9 22:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复