-
-
[原创]实践易程序"通用"脱壳方法
-
发表于: 2008-11-25 12:15
-
【文章标题】: 实践易程序"通用"脱壳方法
【文章作者】: stalker
--------------------------------------------------------------------------------
【详细过程】
一直想学习下脱壳,无奈天赋不足,始终没有什么进展,至今只能手脱几个压缩壳。听说易语言的程序有通用脱壳方法,于是Google了一把,居然我又被带回了论坛:http://bbs.pediy.com/showthread.php?t=54227
我没有实验过foxabu的通用脱壳机,但从大家的回复来看,应该很好用。其中的一个回复特别值得关注,由于我已经无法引用,发个截图
根据我短时间内对论坛各大牛的观察,他们一般都是不说废话的,我猜想forgot应该是含蓄地告诉了我们易语言程序的通用脱壳方法:对LoadLibraryExW函数下断。所谓实践是检验真理的唯一标准,找个样品开始吧。Google到了一个,名为“窗口组件任意摆 BY:梦飞鸟 [Dream Flyer]”,PEID扫描显示mkfpack (APlib) -> llydd * Sign.By.Celta68 * 20080131 [Overlay] *
在下孤陋寡闻,没有听说过此壳。直接用OD打开,bp LoadLibraryExW,F9运行,停在如下地方
经过若干次ALT+F9之后
00401460肯定不是OEP,往上查找一直到过程首部
这里是OEP吗?我也不知道,从这里DUMP出来试试,一运行
出错了,应该是OEP找错了
再回到0040113A看看
注意下面的Local call from 004038FA,Ctrl+G看看去
上下拖拖看看,是否觉得很熟悉?就像VC++编译出来的程序一般
从这个过程首部再DUMP一次试试,运行出现提示
看到这个提示是否想到了附加数据?(如果你不知道什么是附加数据,请看这里http://www.pediy.com/bbshtml/bbs6/pediy6923.htm)
用PEditor打开未脱壳的程序,重点看图中红色部分
用WinHex打开原程序,跳转到偏移16000(14000+2000,即最后一个节的末尾)处
从16000一直到文件末尾都是附加数据,Alt+1&Alt+2选中之,右键->Edit->Copy Block->Hex Values
然后再打开刚才DUMP出来的程序,把数据粘贴到它的末尾保存就OK
此例成功之后,我又找了两个程序测试,均成功,而且我发现易程序的附加数据都是一样的(不知道这是不是装到exe中的易库呢?)
由于我只试验了3次,不知道此法是否真的通用,因此标题上我打了引号(^_^)
注意:并非所有附加数据的问题都是用这种方法解决,更多请参考上面那个红色的URL
在此附上我的三个样品程序(感谢他们的作者),其中样品一为上文中操作的程序
样品一.rar
样品二.rar
样品三.rar
--------------------------------------------------------------------------------
2008年11月25日 下午 12:08:01
【文章作者】: stalker
--------------------------------------------------------------------------------
【详细过程】
一直想学习下脱壳,无奈天赋不足,始终没有什么进展,至今只能手脱几个压缩壳。听说易语言的程序有通用脱壳方法,于是Google了一把,居然我又被带回了论坛:http://bbs.pediy.com/showthread.php?t=54227
我没有实验过foxabu的通用脱壳机,但从大家的回复来看,应该很好用。其中的一个回复特别值得关注,由于我已经无法引用,发个截图
根据我短时间内对论坛各大牛的观察,他们一般都是不说废话的,我猜想forgot应该是含蓄地告诉了我们易语言程序的通用脱壳方法:对LoadLibraryExW函数下断。所谓实践是检验真理的唯一标准,找个样品开始吧。Google到了一个,名为“窗口组件任意摆 BY:梦飞鸟 [Dream Flyer]”,PEID扫描显示mkfpack (APlib) -> llydd * Sign.By.Celta68 * 20080131 [Overlay] *
在下孤陋寡闻,没有听说过此壳。直接用OD打开,bp LoadLibraryExW,F9运行,停在如下地方
经过若干次ALT+F9之后
00401460肯定不是OEP,往上查找一直到过程首部
这里是OEP吗?我也不知道,从这里DUMP出来试试,一运行
出错了,应该是OEP找错了
再回到0040113A看看
注意下面的Local call from 004038FA,Ctrl+G看看去
上下拖拖看看,是否觉得很熟悉?就像VC++编译出来的程序一般
从这个过程首部再DUMP一次试试,运行出现提示
看到这个提示是否想到了附加数据?(如果你不知道什么是附加数据,请看这里http://www.pediy.com/bbshtml/bbs6/pediy6923.htm)
用PEditor打开未脱壳的程序,重点看图中红色部分
用WinHex打开原程序,跳转到偏移16000(14000+2000,即最后一个节的末尾)处
从16000一直到文件末尾都是附加数据,Alt+1&Alt+2选中之,右键->Edit->Copy Block->Hex Values
然后再打开刚才DUMP出来的程序,把数据粘贴到它的末尾保存就OK
此例成功之后,我又找了两个程序测试,均成功,而且我发现易程序的附加数据都是一样的(不知道这是不是装到exe中的易库呢?)
由于我只试验了3次,不知道此法是否真的通用,因此标题上我打了引号(^_^)
注意:并非所有附加数据的问题都是用这种方法解决,更多请参考上面那个红色的URL
在此附上我的三个样品程序(感谢他们的作者),其中样品一为上文中操作的程序
样品一.rar
样品二.rar
样品三.rar
--------------------------------------------------------------------------------
2008年11月25日 下午 12:08:01
|
|
|---|---|
|
|
|
|
|
顶一把
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
maybe。。。
|
|
|
独立编译的吧
有的是带库运行的,比如样品三,因此我才猜测附加数据就是易库 
|
|
|
|
|
|
顶lz,在自己的电脑试了一下,发现用bp LoadLibraryExA和lz总结的一样用bp LoadLibraryExW行不通
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
刚才的回复图不见了,
 |
|
|
如果用bp LoadLibraryExW则返回到下面地方
 |
|
|
|
|
|
|
|
|
好的,我也试试去
|
|
|
|
|
|
果然A比W快
|
|
|
|
|
|
|
|
|
|
