首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]PE-Armor壳自已摆弄了一个月了仍无进展高人要来相助哦 0.00雪花
发表于: 2008-12-3 01:02 3881

[旧帖] [求助]PE-Armor壳自已摆弄了一个月了仍无进展高人要来相助哦 0.00雪花

xnhlover 活跃值
2008-12-3 01:02
3881
最近在学习PJ,不过第一次就遇到起一个超强壳(当然超强只是对于我这种小菜来说的哈),一般的查壳软件根本查不出来,费了9N2F之力,通过跟踪前面的指令,程序绕了一大圈,就是头指令更新后重新回到原来的起点续续后面风风光光的解码过程,不过这中间还有区别,在win98下,程序在这个时候会加载和查找一些函数放进一个数组里后,再回到开始位置执行,但在xp下,程序执行了少量代码后,就回到开始位置去了,
   最后查出是PE-Armor0.7x的壳,原来经过了伪装,看了一下pe-armor765加壳软件的功能说明,感觉不象是0.755以下的版本加的壳,在跟踪的过程中,遇到的anti技术基本上都以加壳软件的功能描述一致,实在莫法了,只好寄期望于程序完成解码后在运行中破解注册码,通过OD附上程序后,发现是delphi开发的程序,以为好搞定,哪料困难重重呀,程序中部分代码仍没完全解密,输入注册码后,程序就进入壳代码中去运行了,一路的anti和做无用的循环,并在无用的代码中插入有用的指令,在壳的代码中,边解码边执行,并加载一个什么xdll.dll库,还有一个什么didi.ano什么的模块,打开了一些什么驱动服务呀什么的cdcd.sys,OPenscmanger,OPenServer,IOcontrolr什么的 ,难道注册码运算通过驱动层来实现的吗?或者把运算后的结果和返回的下一步指令地址,搞得人心恍恍,当然我就没有看到一丁点注册码的比较的痕迹,,总之程序通过ret C进入壳后,就看不到程序的返回地址,我是小菜花,哪搞得明白这些高深的东东哦,只是俺爱钻点牛角尖,不过事实证明这种作风一点都不好,浪费不少宝贵的时间,效率大大的不高,所以肯请这里的高人一定进来关照和指点迷津一下了,真的想弄明白这到底是咱会事。

   由于级别不够,只好将加壳后的软件放在临时空间中
http://rapidshare.de/files/41046959/EZ2DANCER.rar.html

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (6)
xnhlover
雪    币: 162
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
还有一个问题是用OD动态加载进程调试时,OD不能识别API的符号。另外补充说明一下,使用了所有的armor的脱壳机软件,都不能成功脱出,不是中途出错,就是一加载就出错,不是目标出错,而是脱壳程序出错,有个号称0.7x-0.765全版支持的脱壳机表现一样,最途败下阵来。
00D71410    55              push    ebp
00D71411    8BEC            mov     ebp, esp
00D71413    83C4 B0         add     esp, -50
00D71416    53              push    ebx
00D71417    56              push    esi
00D71418    57              push    edi
00D71419    B8 0C84DD00     mov     eax, 0DD840C
00D7141E    E8 959A0400     call    00DBAEB8
00D71423    33C9            xor     ecx, ecx
00D71425    B2 01           mov     dl, 1
00D71427    A1 6487DD00     mov     eax, dword ptr [DD8764]
00D7142C    E8 1F0F0000     call    00D72350
00D71431    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D71437    8902            mov     dword ptr [edx], eax
00D71439    8B0D 04D2DD00   mov     ecx, dword ptr [DDD204]
00D7143F    8B01            mov     eax, dword ptr [ecx]
00D71441    C780 D0020000 0>mov     dword ptr [eax+2D0], 2
00D7144B    66:C745 C8 0800 mov     word ptr [ebp-38], 8
00D71451    8D45 FC         lea     eax, dword ptr [ebp-4]
00D71454    E8 87020000     call    00D716E0
00D71459    8BD0            mov     edx, eax
00D7145B    FF45 D4         inc     dword ptr [ebp-2C]
00D7145E    8B45 10         mov     eax, dword ptr [ebp+10]
00D71461    E8 DE160400     call    00DB2B44
00D71466    8D55 FC         lea     edx, dword ptr [ebp-4]
00D71469    8B0D 04D2DD00   mov     ecx, dword ptr [DDD204]
00D7146F    8B01            mov     eax, dword ptr [ecx]
00D71471    05 E0020000     add     eax, 2E0
00D71476    E8 8D5C0600     call    00DD7108
00D7147B    FF4D D4         dec     dword ptr [ebp-2C]
00D7147E    8D45 FC         lea     eax, dword ptr [ebp-4]
00D71481    BA 02000000     mov     edx, 2
00D71486    E8 4D5C0600     call    00DD70D8
00D7148B    8B0D 04D2DD00   mov     ecx, dword ptr [DDD204]
00D71491    8B01            mov     eax, dword ptr [ecx]
00D71493    33D2            xor     edx, edx
00D71495    E8 A2D30100     call    00D8E83C
00D7149A    6A 02           push    2
00D7149C    E8 A3050000     call    00D71A44
00D714A1    59              pop     ecx
00D714A2    8945 B0         mov     dword ptr [ebp-50], eax
00D714A5    8B4D B0         mov     ecx, dword ptr [ebp-50]
00D714A8    41              inc     ecx
00D714A9    75 44           jnz     short 00D714EF
00D714AB    A1 04D2DD00     mov     eax, dword ptr [DDD204]
00D714B0    8B10            mov     edx, dword ptr [eax]
00D714B2    8955 F4         mov     dword ptr [ebp-C], edx
00D714B5    8B4D F4         mov     ecx, dword ptr [ebp-C]
00D714B8    85C9            test    ecx, ecx
00D714BA    74 21           je      short 00D714DD
00D714BC    8B45 F4         mov     eax, dword ptr [ebp-C]
00D714BF    8B10            mov     edx, dword ptr [eax]
00D714C1    8955 F8         mov     dword ptr [ebp-8], edx
00D714C4    66:C745 C8 2000 mov     word ptr [ebp-38], 20
00D714CA    BA 03000000     mov     edx, 3
00D714CF    8B45 F4         mov     eax, dword ptr [ebp-C]
00D714D2    8B08            mov     ecx, dword ptr [eax]
00D714D4    FF51 FC         call    dword ptr [ecx-4]
00D714D7    66:C745 C8 1400 mov     word ptr [ebp-38], 14
00D714DD    83C8 FF         or      eax, FFFFFFFF
00D714E0    8B55 B8         mov     edx, dword ptr [ebp-48]
00D714E3    64:8915 0000000>mov     dword ptr fs:[0], edx
00D714EA    E9 E5010000     jmp     00D716D4
00D714EF    66:C745 C8 2C00 mov     word ptr [ebp-38], 2C
00D714F5    BA 7483DD00     mov     edx, 0DD8374                     ; ASCII "dbpeset.fm2"
00D714FA    8D45 F0         lea     eax, dword ptr [ebp-10]
00D714FD    E8 625B0600     call    00DD7064
00D71502    FF45 D4         inc     dword ptr [ebp-2C]
00D71505    8B00            mov     eax, dword ptr [eax]
00D71507    E8 CC120400     call    00DB27D8
00D7150C    33D2            xor     edx, edx
00D7150E    8AD0            mov     dl, al
00D71510    83FA 01         cmp     edx, 1
00D71513    1BC9            sbb     ecx, ecx
00D71515    F7D9            neg     ecx
00D71517    51              push    ecx
00D71518    FF4D D4         dec     dword ptr [ebp-2C]
00D7151B    8D45 F0         lea     eax, dword ptr [ebp-10]
00D7151E    BA 02000000     mov     edx, 2
00D71523    E8 B05B0600     call    00DD70D8
00D71528    59              pop     ecx
00D71529    84C9            test    cl, cl
00D7152B    74 44           je      short 00D71571
00D7152D    A1 04D2DD00     mov     eax, dword ptr [DDD204]
00D71532    8B10            mov     edx, dword ptr [eax]
00D71534    8955 E8         mov     dword ptr [ebp-18], edx
00D71537    8B4D E8         mov     ecx, dword ptr [ebp-18]
00D7153A    85C9            test    ecx, ecx
00D7153C    74 21           je      short 00D7155F
00D7153E    8B45 E8         mov     eax, dword ptr [ebp-18]
00D71541    8B10            mov     edx, dword ptr [eax]
00D71543    8955 EC         mov     dword ptr [ebp-14], edx
00D71546    66:C745 C8 4400 mov     word ptr [ebp-38], 44
00D7154C    BA 03000000     mov     edx, 3
00D71551    8B45 E8         mov     eax, dword ptr [ebp-18]
00D71554    8B08            mov     ecx, dword ptr [eax]
00D71556    FF51 FC         call    dword ptr [ecx-4]
00D71559    66:C745 C8 3800 mov     word ptr [ebp-38], 38
00D7155F    83C8 FF         or      eax, FFFFFFFF
00D71562    8B55 B8         mov     edx, dword ptr [ebp-48]
00D71565    64:8915 0000000>mov     dword ptr fs:[0], edx
00D7156C    E9 63010000     jmp     00D716D4
00D71571    66:C745 C8 5000 mov     word ptr [ebp-38], 50
00D71577    66:C745 C8 5C00 mov     word ptr [ebp-38], 5C
00D7157D    BA 7483DD00     mov     edx, 0DD8374                     ; ASCII "dbpeset.fm2"
00D71582    8D45 E4         lea     eax, dword ptr [ebp-1C]
00D71585    E8 DA5A0600     call    00DD7064
00D7158A    FF45 D4         inc     dword ptr [ebp-2C]
00D7158D    8B00            mov     eax, dword ptr [eax]
00D7158F    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D71595    8B12            mov     edx, dword ptr [edx]
00D71597    E8 34670300     call    00DA7CD0
00D7159C    FF4D D4         dec     dword ptr [ebp-2C]
00D7159F    8D45 E4         lea     eax, dword ptr [ebp-1C]
00D715A2    BA 02000000     mov     edx, 2
00D715A7    E8 2C5B0600     call    00DD70D8
00D715AC    A1 04D2DD00     mov     eax, dword ptr [DDD204]
00D715B1    8B00            mov     eax, dword ptr [eax]
00D715B3    E8 D00E0000     call    00D72488
00D715B8    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D715BE    8B02            mov     eax, dword ptr [edx]
00D715C0    E8 47040200     call    00D91A0C
00D715C5    68 7483DD00     push    0DD8374                          ; ASCII "dbpeset.fm2"
00D715CA    E8 115D0600     call    00DD72E0
00D715CF    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D715D5    8B0A            mov     ecx, dword ptr [edx]
00D715D7    C681 D4020000 0>mov     byte ptr [ecx+2D4], 0
00D715DE    6A 00           push    0
00D715E0    6A 00           push    0
00D715E2    68 00B00000     push    0B000
00D715E7    A1 04D2DD00     mov     eax, dword ptr [DDD204]
00D715EC    8B00            mov     eax, dword ptr [eax]
00D715EE    E8 49FE0200     call    00DA143C
00D715F3    50              push    eax
00D715F4    E8 D5630600     call    00DD79CE
00D715F9    8B15 0CD2DD00   mov     edx, dword ptr [DDD20C]
00D715FF    8B02            mov     eax, dword ptr [edx]
00D71601    E8 76320200     call    00D9487C
00D71606    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D7160C    8B0A            mov     ecx, dword ptr [edx]
00D7160E    8A81 D4020000   mov     al, byte ptr [ecx+2D4]
00D71614    84C0            test    al, al
00D71616  ^ 74 E1           je      short 00D715F9
00D71618    6A 00           push    0
00D7161A    6A 00           push    0
00D7161C    68 01B00000     push    0B001
00D71621    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D71627    8B02            mov     eax, dword ptr [edx]
00D71629    E8 0EFE0200     call    00DA143C
00D7162E    50              push    eax
00D7162F    E8 9A630600     call    00DD79CE
00D71634    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D7163A    8B02            mov     eax, dword ptr [edx]
00D7163C    05 D8020000     add     eax, 2D8
00D71641    E8 CA000000     call    00D71710
00D71646    50              push    eax
00D71647    FF75 08         push    dword ptr [ebp+8]
00D7164A    E8 31960400     call    00DBAC80
00D7164F    83C4 08         add     esp, 8
00D71652    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D71658    8B02            mov     eax, dword ptr [edx]
00D7165A    05 DC020000     add     eax, 2DC
00D7165F    E8 AC000000     call    00D71710
00D71664    50              push    eax
00D71665    FF75 0C         push    dword ptr [ebp+C]
00D71668    E8 13960400     call    00DBAC80
00D7166D    83C4 08         add     esp, 8
00D71670    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D71676    8B0A            mov     ecx, dword ptr [edx]
00D71678    8B81 D0020000   mov     eax, dword ptr [ecx+2D0]
00D7167E    8945 B4         mov     dword ptr [ebp-4C], eax
00D71681    66:C745 C8 0000 mov     word ptr [ebp-38], 0
00D71687    EB 0B           jmp     short 00D71694
00D71689    66:C745 C8 5800 mov     word ptr [ebp-38], 58
00D7168F    E8 5AF10400     call    00DC07EE
00D71694    8B15 04D2DD00   mov     edx, dword ptr [DDD204]
00D7169A    8B0A            mov     ecx, dword ptr [edx]
00D7169C    894D DC         mov     dword ptr [ebp-24], ecx
00D7169F    8B45 DC         mov     eax, dword ptr [ebp-24]
00D716A2    85C0            test    eax, eax
00D716A4    74 21           je      short 00D716C7
00D716A6    8B55 DC         mov     edx, dword ptr [ebp-24]
00D716A9    8B0A            mov     ecx, dword ptr [edx]
00D716AB    894D E0         mov     dword ptr [ebp-20], ecx
00D716AE    66:C745 C8 7400 mov     word ptr [ebp-38], 74
00D716B4    BA 03000000     mov     edx, 3
00D716B9    8B45 DC         mov     eax, dword ptr [ebp-24]
00D716BC    8B08            mov     ecx, dword ptr [eax]
00D716BE    FF51 FC         call    dword ptr [ecx-4]
00D716C1    66:C745 C8 6800 mov     word ptr [ebp-38], 68
00D716C7    8B45 B4         mov     eax, dword ptr [ebp-4C]
00D716CA    8B55 B8         mov     edx, dword ptr [ebp-48]
00D716CD    64:8915 0000000>mov     dword ptr fs:[0], edx
00D716D4    5F              pop     edi
00D716D5    5E              pop     esi
00D716D6    5B              pop     ebx
00D716D7    8BE5            mov     esp, ebp
00D716D9    5D              pop     ebp
00D716DA    C2 0C00         retn    0C      此处返回到846000壳代码模块,但在堆栈区找不出与返回地址相关的地址,怀疑是返回地址的,对其下断也反应。
2008-12-3 01:10
0
Pan88168
雪    币: 439
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
有机机的呀,,直接脱多方便..
2008-12-3 08:28
0
aielan
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
你的文件下不下来,
2008-12-3 08:50
0
xnhlover
雪    币: 162
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我自已去下了一下,可以下的呀,只是选择FREE的方式下载后,需要等上一段时间后,才会弹出文件保存对话框架,且只能单线程下,再给一个临时空间吧,高人要来啊。
http://www.live-share.com/files/369484/EZ2DANCER.rar.html
2008-12-3 10:04
0
xnhlover
雪    币: 162
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我说过了,脱壳机不行的,找了很多脱壳机要么把自已搞死,要么把目标程序搞死。唉,为什么就这么难呢。
2008-12-3 10:06
0
xnhlover
雪    币: 162
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
怎么没人进来,我自已顶。
2008-12-3 12:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//