首页
社区
课程
招聘
Thinstall V2.501脱壳――Win98的Notepad
发表于: 2004-12-8 17:54 20129

Thinstall V2.501脱壳――Win98的Notepad

fly 活跃值
85
2004-12-8 17:54
20129
收藏
免费 7
支持
分享
最新回复 (44)
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
强啊。
2004-12-10 11:22
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
27
支持。。。fly 大哥无私奉献。。。
2004-12-10 13:23
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
28
最初由 d1y2j3 发布
fly版主
Steel Box那个也写一个吧.


Steel Box 搞定了
有空再写吧
2004-12-10 15:41
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
29
最初由 fly 发布



Steel Box 搞定了
有空再写吧


期待中......:)

那个TestIt应该返回什么才可以
正常执行?或者可以跳过去?

现在打算慢慢磨你送我的硬骨头,
全程跟跟
2004-12-10 18:47
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
30
其实那个注册可以不管
直接恢复程序中的代码就行了
2004-12-10 18:50
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
31
学习,等fly的教程。:D
2004-12-10 18:53
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
FLY怎么不玩我提供的那两个UPACKME,那两个都有些差异的。
2004-12-11 12:21
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
33
最初由 鸡蛋壳 发布
FLY怎么不玩我提供的那两个UPACKME,那两个都有些差异的。


你自己先脱一下   ok?
2004-12-11 15:02
0
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
34
提点意见 ,希望fly大侠文章里侧重讲道理,向tDasm那样以理服人好些,方法还是次要。



二、获取加壳前程序的PE Header等数据

Ctrl+S 搜索命令序列:
mov eax,dword ptr ds:[eax+3C]
mov ecx,dword ptr ss:[ebp-118]
找到在7FF427BA处,直接F4过去

如这是为什么要这么做?

―――――――――――――――――――――――――――――――――
四、飞向光明之巅

还想看看是怎样跳OEP的?
Ctrl+F搜索命令:call dword ptr ss:[ebp-3B8]

7FF4289C     FF95 48FCFFFF     call dword ptr ss:[ebp-3B8]; Notepad.004010CC
//飞向光明之巅! ^O^

到oep处脱壳是无法运行的,也改写明一下吧。
2004-12-11 23:18
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
35
1、每个人都有自己的风格,我也希望能找到更好的风格
2、这是特征码,你也可以单步走到这里
3、到OEP脱壳应该也可以运行的,并且文中也说了脱壳的最佳时机
2004-12-11 23:31
0
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
36
还要修炼
2004-12-11 23:43
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wfp
37
我刚学手工脱壳,很多地方不清楚,请fly版主帮忙,先谢了!

二、获取加壳前程序的PE Header等数据

Ctrl+S 搜索命令序列:
mov eax,dword ptr ds:[eax+3C]
mov ecx,dword ptr ss:[ebp-118]
找到在7FF427BA处,直接F4过去------f4过去程序就运行结束了,请问如何过去?

7FF427A5     8B85 D4FDFFFF     mov eax,dword ptr ss:[ebp-22C]
7FF427AB     8B40 18           mov eax,dword ptr ds:[eax+18]
7FF427AE     8985 E8FEFFFF     mov dword ptr ss:[ebp-118],eax
7FF427B4     8B85 E8FEFFFF     mov eax,dword ptr ss:[ebp-118]
7FF427BA     8B40 3C           mov eax,dword ptr ds:[eax+3C]
//F4到这里
7FF427BD     8B8D E8FEFFFF     mov ecx,dword ptr ss:[ebp-118]
7FF427C3     8D4401 18         lea eax,dword ptr ds:[ecx+eax+18]
7FF427C7     8985 D0FDFFFF     mov dword ptr ss:[ebp-230],eax  ; Notepad.004000E8
//在这里可以得到PE Header和The Section Table数据 ★
7FF427CD     C705 D05DF97F 020>mov dword ptr ds:[7FF95DD0],2

PE Header:
004000D0  50 45 00 00 4C 01 01 00 D6 57 5A 35 00 00 00 00  PE..L.肿Z5....
004000E0  00 00 00 00 E0 00 0E 01 0B 01 03 0A 00 40 00 00  ....?..@..
004000F0  00 70 00 00 00 00 00 00 CC 10 00 00 00 10 00 00  .p......?.....
00400100  00 50 00 00 00 00 40 00 00 10 00 00 00 10 00 00  .P....@.......
00400110  04 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00  ..............
00400120  C6 CA 00 00 00 04 00 00 00 00 00 00 02 00 00 00  剖............
00400130  00 00 10 00 00 10 00 00 00 00 10 00 00 10 00 00  ............
00400140  00 00 00 00 10 00 00 00 00 00 00 00 00 00 00 00  ...............
00400150  00 60 00 00 8C 00 00 00 00 70 00 00 C8 42 00 00  .`..?...p..嚷..
…… ……----------我的od为什么不显示这些信息,请问如何设置?

毕竟只是捆绑壳,此时代码已经解压,现在dump则IAT等信息都是未加密的,正是脱壳的最佳时机!

―――――――――――――――――――――――――――――――――
三、Dump、PE修正

如果你用LordPE来dump,会发现得到的dumped.exe连图标也没有了,别急,用WinHex把上面得到的PE Header和The Section Table等数据写入相应部分,这样就可以运行啦。你也可以用插件OllyDump先生去掉“重建输入表”选项来直接抓取,修改OEP,把BoundImport清0。------请问oep如何得到的,是多少?

但是依旧只显示一个.text区段, 看看NumberOfSections:01,把PE头+06H处修改为05,所有的区段就露面了。------“把PE头+06H处修改为05,所有的区段就露面了”怎么操作?

只保留LordPE的“Validate PE”选项,重建PE。   
这次脱的算是稍微有点完美了。

―――――――――――――――――――――――――――――――――
四、飞向光明之巅

还想看看是怎样跳OEP的?
Ctrl+F搜索命令:call dword ptr ss:[ebp-3B8]

7FF4289C     FF95 48FCFFFF     call dword ptr ss:[ebp-3B8]; Notepad.004010CC
//飞向光明之巅! ^O^
2005-12-8 07:22
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
38
光标定位在需要达到的地方
按F4健

工具的基本操作可以看其帮助文档,这些东西需要你自己去掌握
2005-12-8 09:05
0
雪    币: 303
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
最初由 wfp 发布
我刚学手工脱壳,很多地方不清楚,请fly版主帮忙,先谢了!

二、获取加壳前程序的PE Header等数据


........


FLY的这个记事本是单进程的,你说的那个是双进程的,不同的说
2005-12-9 21:36
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wfp
40
求教如何脱,谢谢!
2005-12-11 10:30
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
三、Dump、PE修正

如果你用LordPE来dump,会发现得到的dumped.exe连图标也没有了,别急,用WinHex把上面得到的PE Header和The Section Table等数据写入相应部分,这样就可以运行啦。

请问是怎样用winhex写入呀。我是新手
2006-10-31 21:31
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
42
Thinstall.V2.5X.Single.Main.eXe.UnPacK Script
http://www.unpack.cn/viewthread.php?tid=4795

试试脱壳脚本
注意按提示操作
2006-10-31 23:44
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
脱壳脚本脱掉后不能运行,而且按fly 大哥说的方法修复后用不了
2006-11-1 08:27
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
44
脱壳的目标是教程所说的例子?
那是你的操作问题吧
2006-11-1 09:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
不好意思。我是说用脚本脱壳后用不了。fly 大哥的教程没有问题,我已经实现了。只是某些地方没看懂,还待努力学习中,就是我提出的用winhex修复不懂怎么修复?
2006-11-1 09:26
0
游客
登录 | 注册 方可回帖
返回
//