[原创]ID Application Protector 1.2 Unpacker-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]ID Application Protector 1.2 Unpacker

发表于: 2008-11-21 14:12 5761

[原创]ID Application Protector 1.2 Unpacker

playboysen 活跃值

2008-11-21 14:12

5761

近来国内外论坛上都在讨论这个新兴的加密壳，界面很美观，据说功能还不错，最新版V1.2，我下载研究了一下，写了个脱壳脚本，请大家测试，有问题可以跟帖讨论

最新版下载：
http://www.idsecuritysuite.com/files/idapplicationprotectorsetup.exe
注册机下载：
http://www.unpack.cn/viewthread.php?tid=30087&extra=page%3D2

应qifeon兄要求，同时提供两种方法的脱壳过程：
一、先在.rsrc区段下断，F9运行暂停后
在.idata或者.data段下断，F9运行暂停后
在.code（即00401000段）下断，F9运行即到OEP
二、搜索特征命令（也是几次脱相关壳后所找到的关键点）——>脚本采用这种方法

Ctrl+B搜索“368B7D08368B750C368B4D1031C03EAC26AA”即

0046BF05    36:8B7D 08              mov edi,dword ptr ss:[ebp+8]
0046BF09    36:8B75 0C              mov esi,dword ptr ss:[ebp+C]
0046BF0D    36:8B4D 10              mov ecx,dword ptr ss:[ebp+10]
0046BF11    31C0                    xor eax,eax
0046BF13    3E:AC                   lods byte ptr ds:[esi]
0046BF15    26:AA                   stos byte ptr es:[edi]

然后在其紧接着的retn命令上下断，F9运行两次后，在.code段下断，F9运行中断在OEP，修复即可

/*
ID Application Protector 1.2 Unpacker
version  : v1.01
Author   : Playboysen
Date     : 2008.11.21
Test Environment : OllyDbg 1.1, ODBGScript 1.65, WINXP SP2

Many thanks to hflywolf and wangshy in Pediy forum.
*/

var cbase
var csize

cmp $VERSION,"1.64"
jb newver

bphwcall            //clear hardware breakpoint
find eip,#368B7D08368B750C368B4D1031C03EAC26AA#  //search  characteristic characters
cmp $RESULT,0
je quit
BPHWS $RESULT,"x"   //set a hardware breakpoint
ESTO
BPHWC $RESULT
find eip,#C3#
cmp $RESULT,0
je quit
BPHWS $RESULT,"x"
ESTO
ESTO
BPHWC $RESULT

GMI eip,codebase    //Get code segment base address
mov cbase,$RESULT
GMI eip,codesize     //Get code segment size
mov csize,$RESULT
bprm cbase,csize
esto
bpmc

cmt eip,"OEP found by playboysen~~"
msg "I have finished,it's your turn，fix it~~"
jmp quit

newver:
msg "You'd better use ODbgscript 1.64 or above"
quit:
ret

附带几个不同加密选项的小练习，此脚本通用~~

[课程]Linux pwn 探索篇！

上传的附件：

ID Application Protector 1.2 Unpacker.txt （0.91kb，20次下载）
ID Application Protector 1.2.rar （212.48kb，27次下载）

收藏・2

免费・7

支持

最新回复 (2)
qifeon 雪币： 414 活跃值： (10) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 144 粉丝 0 关注私信	qifeon 11 2 楼脱壳过程也写下，对照看方便些。 2008-11-21 14:34 0
gry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 107 粉丝 0 关注私信	gry 3 楼厉害支持一下 2008-11-22 00:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

playboysen

发帖

786

回帖

680

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
qifeon 雪币： 414 活跃值： (10) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 144 粉丝 0 关注私信	qifeon 11 2 楼脱壳过程也写下，对照看方便些。 2008-11-21 14:34 0
gry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 107 粉丝 0 关注私信	gry 3 楼厉害支持一下 2008-11-22 00:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复