-
-
[讨论]超级变态壳yoda's Protector v1.02请高手指教!
-
发表于: 2009-4-23 11:19
-
超级变态壳yoda's Protector v1.02请高手指教!
用查壳工具查出是如下图:
yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
用了好几个PEID都是这个壳
这是这个壳的入口点:如下
0060065F > 68 19AA54EA PUSH EA54AA19
00600664 E8 1B9B0000 CALL 1.0060A184
00600669 E1 3C LOOPDE SHORT 1.006006A7
0060066B 7D 1B JGE SHORT 1.00600688
0060066D 4E DEC ESI
0060066E 15 62F93AE9 ADC EAX,E93AF962
00600673 CC INT3
00600674 A2 BBA8F0C5 MOV BYTE PTR DS:[C5F0A8BB],AL
00600679 FC CLD
0060067A 48 DEC EAX
0060067B ^ 7C D2 JL SHORT 1.0060064F
0060067D F1 INT1
0060067E E6 C0 OUT 0C0,AL ;
I/O 命令
00600680 B4 83 MOV AH,83
00600682 4A DEC EDX
00600683 D5 37 AAD 37
00600685 7A 10 JPE SHORT 1.00600697
00600687 49 DEC ECX
00600688 6D INS DWORD PTR ES:[EDI],DX ;
I/O 命令
00600689 815C5A 6A 6F507>SBB DWORD PTR DS:[EDX+EBX*2+6A],967A506F
如果用这个PEID查OEP的入口点则是在0041AB0C这里
请看下面
0041AB0C /. 55 PUSH EBP
0041AB0D |. 8BEC MOV EBP,ESP
0041AB0F |. 6A FF PUSH -1
0041AB11 |. 68 081E4700 PUSH 1.00471E08
0041AB16 |. 68 70AC4100 PUSH 1.0041AC70 ;
SE 处理程序安装
0041AB1B |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
0041AB21 |. 50 PUSH EAX
0041AB22 |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP
0041AB29 |. 83EC 68 SUB ESP,68
0041AB2C |. 53 PUSH EBX
0041AB2D |. 56 PUSH ESI
0041AB2E |. 57 PUSH EDI
0041AB2F |. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
0041AB32 |. 33DB XOR EBX,EBX
0041AB34 |. 895D FC MOV DWORD PTR SS:[EBP-4],EBX
0041AB37 |. 6A 02 PUSH 2
0041AB39 |. FF15 70FB4600 CALL DWORD PTR DS:[46FB70]
0041AB3F |. 59 POP ECX
0041AB40 |. 830D 74704A00>OR DWORD PTR DS:[4A7074],FFFFFFFF
0041AB47 |. 830D 78704A00>OR DWORD PTR DS:[4A7078],FFFFFFFF
0041AB4E |. FF15 74FB4600 CALL DWORD PTR DS:[46FB74]
0041AB54 |. 8B0D 94664A00 MOV ECX,DWORD PTR DS:[4A6694]
0041AB5A |. 8908 MOV DWORD PTR DS:[EAX],ECX
0041AB5C |. FF15 78FB4600 CALL DWORD PTR DS:[46FB78]
如在这里设断点然后运行到这的话,脱壳在当前用DUmp脱过后则显示为Microsoft
Visual C++ v6.0
这说明已经脱完壳了,但是脱完之后的程序比原来的还要小之前3M多现在2M多,
这个壳可能是个加密壳吧!
(还有就是如果说在这里用lordpe纠正脱壳完的程序用PEID查这个壳还是显示为
yoda's Protector v1.02 (.dll,.ocx) ->
Ashkbiz Danehkar (h) [Overlay] *这个也不可以运行用Import修复也不行)
但是运行这个脱过壳的文件后运行报错如下提示:
用Import修复时有一针是无效的针我做了剪切!然后抓取后的文件!也不出现上
面的提示啦,但就是运行不了,一直在进程中只能强行结束它才行!
这个壳有点变态!大部分的CALL都要用F7进入才行!(不管你的CALL是远的还是
近的如果按F8程序就会运行)不然就会运行了!
请高手指教程下!
在这里谢谢各会啦!谢谢指教下如何才能很能很好的脱这个壳
yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
用查壳工具查出是如下图:
yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
用了好几个PEID都是这个壳
这是这个壳的入口点:如下
0060065F > 68 19AA54EA PUSH EA54AA19
00600664 E8 1B9B0000 CALL 1.0060A184
00600669 E1 3C LOOPDE SHORT 1.006006A7
0060066B 7D 1B JGE SHORT 1.00600688
0060066D 4E DEC ESI
0060066E 15 62F93AE9 ADC EAX,E93AF962
00600673 CC INT3
00600674 A2 BBA8F0C5 MOV BYTE PTR DS:[C5F0A8BB],AL
00600679 FC CLD
0060067A 48 DEC EAX
0060067B ^ 7C D2 JL SHORT 1.0060064F
0060067D F1 INT1
0060067E E6 C0 OUT 0C0,AL ;
I/O 命令
00600680 B4 83 MOV AH,83
00600682 4A DEC EDX
00600683 D5 37 AAD 37
00600685 7A 10 JPE SHORT 1.00600697
00600687 49 DEC ECX
00600688 6D INS DWORD PTR ES:[EDI],DX ;
I/O 命令
00600689 815C5A 6A 6F507>SBB DWORD PTR DS:[EDX+EBX*2+6A],967A506F
如果用这个PEID查OEP的入口点则是在0041AB0C这里
请看下面
0041AB0C /. 55 PUSH EBP
0041AB0D |. 8BEC MOV EBP,ESP
0041AB0F |. 6A FF PUSH -1
0041AB11 |. 68 081E4700 PUSH 1.00471E08
0041AB16 |. 68 70AC4100 PUSH 1.0041AC70 ;
SE 处理程序安装
0041AB1B |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
0041AB21 |. 50 PUSH EAX
0041AB22 |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP
0041AB29 |. 83EC 68 SUB ESP,68
0041AB2C |. 53 PUSH EBX
0041AB2D |. 56 PUSH ESI
0041AB2E |. 57 PUSH EDI
0041AB2F |. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
0041AB32 |. 33DB XOR EBX,EBX
0041AB34 |. 895D FC MOV DWORD PTR SS:[EBP-4],EBX
0041AB37 |. 6A 02 PUSH 2
0041AB39 |. FF15 70FB4600 CALL DWORD PTR DS:[46FB70]
0041AB3F |. 59 POP ECX
0041AB40 |. 830D 74704A00>OR DWORD PTR DS:[4A7074],FFFFFFFF
0041AB47 |. 830D 78704A00>OR DWORD PTR DS:[4A7078],FFFFFFFF
0041AB4E |. FF15 74FB4600 CALL DWORD PTR DS:[46FB74]
0041AB54 |. 8B0D 94664A00 MOV ECX,DWORD PTR DS:[4A6694]
0041AB5A |. 8908 MOV DWORD PTR DS:[EAX],ECX
0041AB5C |. FF15 78FB4600 CALL DWORD PTR DS:[46FB78]
如在这里设断点然后运行到这的话,脱壳在当前用DUmp脱过后则显示为Microsoft
Visual C++ v6.0
这说明已经脱完壳了,但是脱完之后的程序比原来的还要小之前3M多现在2M多,
这个壳可能是个加密壳吧!
(还有就是如果说在这里用lordpe纠正脱壳完的程序用PEID查这个壳还是显示为
yoda's Protector v1.02 (.dll,.ocx) ->
Ashkbiz Danehkar (h) [Overlay] *这个也不可以运行用Import修复也不行)
但是运行这个脱过壳的文件后运行报错如下提示:
用Import修复时有一针是无效的针我做了剪切!然后抓取后的文件!也不出现上
面的提示啦,但就是运行不了,一直在进程中只能强行结束它才行!
这个壳有点变态!大部分的CALL都要用F7进入才行!(不管你的CALL是远的还是
近的如果按F8程序就会运行)不然就会运行了!
请高手指教程下!
在这里谢谢各会啦!谢谢指教下如何才能很能很好的脱这个壳
yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
学习方法
|
|
|
学习看贴,都是牛人呀
 !
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 貌似有VM
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
