首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
发一个脚本来凑数的(obs1.2)
发表于: 2004-12-2 14:18 6480

发一个脚本来凑数的(obs1.2)

loveboom 活跃值
53
2004-12-2 14:18
6480

本想用OM写,可是发了一下午时间都没有写出来:-(,我要补课了:(.哪位有兴趣就帮忙转换一下吧.
脚本解决了,水生涯那篇关于NOTEPAD的脱文在winxp sp1,sp2下调试不成功的问题.当然这个问题的解决得助于yock的,没有他我可能要发很多时间的说.
脚本没有处理"特别照顾"的API,跟一下也不难吧
,晕哦,把后面调试的东西也加进去了,编辑了一下
/*
//////////////////////////////////////////////////
        Obsidium 1.2 Unpack script v0.1
        Author:        loveboom
        Email : [email]bmd2chen@tom.com[/email]
        OS    : WinXP sp2,Ollydbg 1.1,OllyScript v0.92
        Date  : 2004-11-30
           Action: Remove Junk code,Found stolen code
        Config: Ignore other exceptions except 'Memory access         violation'and patch 'SetUnhandledExceptionFilter'
        Note  : If you have one or more question, email me please,thank you!
//////////////////////////////////////////////////
*/
var espval
var bbase
var addr
var bsize
var goaddr
var goaddr1
var tmpaddr

Start:
   msgyn "Setting:Ignore other exceptions except'Memory access violation'and and patch 'SetUnhandledExceptionFilter',Continue?"
   cmp $RESULT,0
   jne lbl1
   ret

lbl1:
   dbh
   sti
   sti
   mov espval,esp
   gpa "CheckRemoteDebuggerPresent","Kernel32.dll"
   cmp $RESULT,0
   je lblestot
   mov addr,$RESULT                        //Patch 'CheckRemoteDebuggerPresent'
   mov [addr],#33C0C20800#                //'xor eax,eax,retn 8'

lblestot:
   run
   esto
   esto

lbl2:
   gpa "VirtualAllocEx","kernel32.dll"
   cmp $RESULT,0
   je lblerros
   bp $RESULT
   esto

lbl3:
   bc $RESULT
   mov bsize,edx                        //Get VirtualAlloc size
   rtu
   mov bbase,eax                         //Get VirtualAlloc Base
   run

lblbp:
   esto
   esto
   esto
   esto
   esto
   bprm bbase,bsize                        //Set a Memory break point
   esto
   
lbl4:
   bpmc
   rtr
   sto

lblfind:
   find eip,#66F706200074#                //found 'test word ptr [esi],20]'
   cmp $RESULT,0
   je lblabort
   mov addr,$RESULT
   mov [addr],#66F706080075#                //Replace to 'test word ptr [esi],08'
   find addr,#83C60883C704#                //found 'add esi,8,add edi,4'
   cmp $RESULT,0
   je lblabort
   mov goaddr,$RESULT
   mov goaddr1,goaddr
   find addr,#FF50??85C074#                //found 'CALL DWORD PTR DS:[EAX+??]'
   cmp $RESULT,0
   je lblabort
   mov addr,$RESULT
   add addr,6
   sub goaddr,addr
   inc addr
   mov tmpaddr,[addr]
   dec goaddr
   dec addr
   mov [addr],goaddr
   inc addr
   mov [addr],tmpaddr
   add addr,1
   find addr,#FF50??85C074#
   cmp $RESULT,0
   je lblabort
   mov addr,$RESULT
   add addr,6
   sub goaddr1,addr
   inc addr
   mov tmpaddr,[addr]
   dec goaddr1
   dec addr
   mov [addr],goaddr1
   inc addr
   mov [addr],tmpaddr
   run

lblesto:
   findop eip,#FFE1#                        //Found command 'JMP ECX'
   bp $RESULT
   esto

lbl5:
   bc $RESULT
   bphws espval,"r"
   log espval
   run

lblClearJunkCode:                //Clear Junk code
   bphwc espval
   repl eip,#EB01??#,#909090#,FF
   repl eip,#EB02????#,#90909090#,FF
   repl eip,#EB03??????#,#9090909090#,FF
   repl eip,#EB04????????#,#909090909090#,FF

lblLogCode:
   find eip,#9C#
   bp $RESULT
   ti

lbl6:
   bc $RESULT
   run
   bprm bbase,bsize
   run

lbl7:
   bpmc
   dbs
   cmt eip,"Now,press ALT+V+N open trace window,you will found stolen code!"

lblend:
   msg "Script by loveboom[DFCG[FCG],Thank you for using my script!"
   ret
lblerros:
   msg "Sorry script require OS:WINDOWS 2x/xp!"
   ret   

lblabort:
   msg "Error,Script aborted!,Meybe target is not protect by OBSIDIUM 1.2 or Target is a vb program."
   ret


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (7)
pendan2001
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
2
支持先!・!!:D
2004-12-2 15:29
0
cyclotron
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
3
God...
2004-12-2 16:15
0
linhanshi
雪    币: 97697
活跃值: (200824)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
支持!!!
2004-12-2 16:41
0
askformore
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
私信
5
============================
repl 00E30000,#FF15????E300#,#FF15????4000#,7000
ret // 如果我没看错,这里是不是会出问题的
var espval
var bbase
var addr
var bsize
var goaddr
var goaddr1
var tmpaddr
==============

用 OM 恐怕现在还不能实现你的转换要求,我也是喜欢用 OS,不过心中又难免想支持“本国货”,呵呵 ,过来支持Monster Killer
2004-12-2 17:27
0
luocong
雪    币: 1593
活跃值: (811)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
私信
6
最初由 askformore 发布
用 OM 恐怕现在还不能实现你的转换要求,我也是喜欢用 OS,不过心中又难免想支持“本国货”,呵呵 ,过来支持Monster Killer


请问如果就针对Obsidium 1.2, OM 还欠缺什么功能呢?我会尽量补充。。。
2004-12-2 17:32
0
loveboom
雪    币: 556
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
私信
7
最初由 askformore 发布
============================
repl 00E30000,#FF15????E300#,#FF15????4000#,7000
ret // 如果我没看错,这里是不是会出问题的
var espval
var bbase
........

晕哦,调试信息忘记了删除,改过来了
2004-12-2 17:40
0
loveboom
雪    币: 556
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 luocong 发布


请问如果就针对Obsidium 1.2, OM 还欠缺什么功能呢?我会尽量补充。。。

可是是repl吧:D
2004-12-2 17:40
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//