能力值:
( LV2,RANK:10 )
|
-
-
2 楼
我刚才用ollydbg自己脱了一下,脱完以后用peid再扫就什么也扫不到了。 软件可以运行。用深度扫描扫描结果是ASPack 2.1 Modified -> Alexey Solodovnikov
有没有人告诉我为什么?这个软件好像应该是VB编写的。我从OLLYDBG里面也扫描不到任何字符。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
。。555在外面发不了。。
|
能力值:
( LV12,RANK:210 )
|
-
-
4 楼
仅仅加了2个壳而已,一分钟搞定。
|
能力值:
( LV12,RANK:210 )
|
-
-
5 楼
先加的upx然后又加的aspack而已,文章我就不发了
|
能力值:
( LV12,RANK:210 )
|
-
-
6 楼
Microsoft Visual Basic 5.0 / 6.0
|
能力值:
( LV12,RANK:210 )
|
-
-
7 楼
PEID查壳
ASPack 2.001 -> Alexey Solodovnikov
看区段 upx0 upx1 aspack
初步估计是加2个壳,OD载入程序,来到如下代码:
004EB001 > 60 pushad //程序入口点
004EB002 E8 72050000 call 004EB579 //此处用ESP定律
004EB007 EB 4C jmp short 004EB055
来到如下代码:
004EB4F4 /75 08 jnz short 004EB4FE
004EB4F6 |B8 01000000 mov eax, 1
004EB4FB |C2 0C00 retn 0C
004EB4FE \68 C03B4D00 push 004D3BC0
004EB503 C3 retn //到下面代码
删除硬件断点,F8单步来到如下代码:
004D3BC0 . 60 pushad
004D3BC1 . BE 00804A00 mov esi, 004A8000 //ESP定律
004D3BC6 . 8DBE 0090F5FF lea edi, dword ptr [esi+FFF59000]
004D3BCC . 57 push edi
来到如下代码:
004D4722 . 8D4424 80 lea eax, dword ptr [esp-80]
004D4726 > 6A 00 push 0
004D4728 . 39C4 cmp esp, eax
004D472A .^ 75 FA jnz short 004D4726 //回调需要避过
004D472C . 83EC 80 sub esp, -80 //此处F4,避过回调
004D472F .- E9 34D0F2FF jmp 00401768 //返回到OEP
004D4734 00 db 00
删除断点,F8单步,直接来到OEP:
00401768 68 88B24200 push 0042B288 ; ASCII "VB5!6&vb6chs.dll" //OEP,可见是VB编写
0040176D E8 F0FFFFFF call 00401762 ; jmp 到 msvbvm60.ThunRTMain
00401772 0000 add byte ptr [eax], al
00401774 0000 add byte ptr [eax], al
00401776 0000 add byte ptr [eax], al
00401778 3000 xor byte ptr [eax], al
LordPE脱壳,ImportREC修复即可。
-------------------------------------------------------------------------------
说明
双重壳要一个一个脱,一般脱壳程序或者插件不行,脱壳解决掉了,可是破解没弄下。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
嘿嘿谢谢竹君呃
我还是新手,所以很多东西需要慢慢的学习,也很希望能得到大家的指导。
刚才翻了一期X档案,里面正好有脱壳的,说只要调试一步,发现ESP变红时就在命令行 Hr 地址
就可以。这是esp定律么?
关于破解,因为有弹出窗口,我想试试,看看能不能找到信息弹出然后把上面的一个大跳转nop掉,我曾经看过一位前辈这样弄过,但是不知道是否能成功。
不知竹君前辈能否把脱完的程序发一份到我邮箱nidemike@126.com我想看一下。
包括手动,我试了几种方法脱,都没有成功,每次都是什么都检测不出来 555毕竟是新手,很盲目了。
再次深表谢意。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
我刚简单看了一下esp定义的广泛内容,但是对于实际应用还是有些云里雾里~~
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
我试了一下
004D472A .^ 75 FA jnz short 004D4726 //回调需要避过
004D472C . 83EC 80 sub esp, -80 //此处F4,避过回调
004D472F .- E9 34D0F2FF jmp 00401768 //返回到OEP
这里不是太懂我到jnz那里的时候按了一下F4然后选中 sub行选了 断点,跳到选定位置,然后F8就到了下面,也看到了那些信息。接下去我就没调试了不知道是不是应该这样做,我直接用lordpe脱了壳,脱完以后运行,显示应用程序正常初始化0*c00000005失败,这个时候我运行了import rec 选择了脱完的exe程序但是OEP我不知道应该填写什么(原谅:确实是刚接触,看的都是表面东西,照猫画虎,很多不是狠理解)jmp 00401768 这里应该是跳转到00401768那么这个00401768是oep么?我看了下oep是程序入口点,那么就应该是这个吧?
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
如果是那个,为什么显示不匹配呢?是我哪一步出现错误了么?我QQ:121175998 MSN:lzor_m@hotmail.com 竹前辈看到了可以告诉我下么
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
我又尝试了 0042B288 和 00401762~~都不行。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
昨天弄到半夜~~~呃。没文化真可怕。。还是修复不好。竹生说,看区段 upx0 upx1 aspack,此番不得解。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
应该是因为你没有删除硬件断点吧?
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
004D472F .- E9 34D0F2FF jmp 00401768 //返回到OEP
004D4734 00 db 00
我倒004D472F .- E9 34D0F2FF jmp 00401768 //返回到OEP删除了一下断点,不知道对不对。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
硬件断点。最好是用完了。就删除。。。要再跳转以前删除。要不有时候就会发生跑飞。。
|
能力值:
( LV12,RANK:210 )
|
-
-
17 楼
先看点基础的,程序我发不邮箱
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
:)尝试出来了~~
谢谢。
|
能力值:
( LV12,RANK:210 )
|
-
-
19 楼
回头来看这是我第一次help人 哈哈
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
竹君 你怎么可以一分钟解决呢。一分钟解决就说明这壳太没技术含量了 。
|
|
|