首页
社区
课程
招聘
[原创]RLPack v1.21 Full OEP Finder + Fix IAT Script v0.1
发表于: 2009-4-30 22:55 14356

[原创]RLPack v1.21 Full OEP Finder + Fix IAT Script v0.1

2009-4-30 22:55
14356

这个脚本是我自己写了来脱 RLPack v1.21 Full 主程序壳的。修复虚拟机我用的是 SND 论坛上 LCF-AT 发的 RLPack 1.21 VM Code Translater 1.0 脚本,在此表示感谢!LCF-AT 的原帖链接在这里:

http://forum.tuts4you.com/index.php?showtopic=19712

LCF-AT 发的 这个 VM 修复脚本很不错,我已经放在附件中了。下面对我写的这个脚本作一些说明:

一、脚本针对的是使用了 RLPack v1.21 Full 一些高级保护选项的程序,目前的功能主要有:
1、移除壳所有的 Anti,没修改过的 OD 应该也可以调试;
2、自动在日志中列出原始程序的所有区段;
3、自动查找 OEP,若有 Stolen Code 的话,自动给出 Stolen Code 表达式的开始地址,可以在数据窗口定位到这个地址,显示方式选“长型->地址”,参考各个参数来修复 Stolen Code。这里是八个字节的参数代表一个指令,如这样的:
00C60000  00000003
00C60004  00000007
表示指令 push ebp。这些参数我没研究完,也没空看了。哪位有时间可以研究一下。
4、自动修复输入表,如果 Delphi 类的程序使用了RLPack 的 “Import Elimination protection”选项保护的话,会自动修复 IAT 的跳转表。

二、已知问题:
1、如果 delphi 类的程序使用了 RLPack 的“Thread Local Storage Protection”选项的话,不会自动恢复 TLS 表。以后有精力再完成这一部分。
2、可能支持 DLL,没测试。
3、断断续续写的,脚本看起来可能有点乱。

三、使用方法:
ODBGScript 插件需要 1.65 以上。载入加壳的程序后先跑我的脚本,跑完如果有 Stolen Code 的话,根据提示修复。有 VM 的话,根据日志窗口中看到的 OEP 地址,CTR+G 转到 OEP,右键选择“此处为新 EIP”,然后跑 LCF-AT 的 VM 修复脚本。这个可能要有一段时间。等脚本完成后 dump,修复输入表。若有 TLS 的话,则要自己修复。

四、附件压缩包中的文件说明:
RLPack.v1.21 Full OEP Finder + Fix IAT.txt:我写的脚本
RLPack 1.21 VM Code Translater 1.0.txt:LCF-AT 的 VM 修复脚本
OEP BYTES.txt:LCF-AT 写的 RLPack v1.21 Full 主程序入口点被抽的代码
RLPack.exe:我脱过壳的 RLPack v1.21 Full 主程序


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (26)
雪    币: 452
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
这个不收藏的话对不住自己呀~
2009-4-30 23:41
0
雪    币: 129
活跃值: (53)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
3
RLPACK的CODE REPLACE是壳的亮点 楼主把它给省咯
2009-5-1 01:21
0
雪    币: 2506
活跃值: (1025)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
4
不清楚你说的 CODE REPLACE 指的是什么,是这个吗?
“• Advanced AntiDump protection:
This option makes parts of your code allocate in different memory allocations on each program startup. Stolen instructions are further more morphed making them more difficult to restore. You can set the maximum number of instructions which are protected. Please note that each instruction increases the output file size by 2-4 bytes. ”
如果是这个,可以试试 LCF-AT 的 VM 修复脚本。
2009-5-1 11:42
0
雪    币: 358
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
收藏并学习之
2009-5-1 11:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
好文章,收藏一下
2009-5-2 17:23
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
7
看了脱好RLPACK还是比较复杂
2009-5-2 18:54
0
雪    币: 359
活跃值: (430)
能力值: ( LV9,RANK:150 )
在线值:
发帖
回帖
粉丝
8
确实不错,我也收藏一个
2009-5-2 22:05
0
雪    币: 1373
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
下载收藏了。。。
2009-5-2 22:49
0
雪    币: 557
活跃值: (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
10
先收藏~~再测试
2009-5-3 00:35
0
雪    币: 201
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
这是好东西啊
2009-5-3 16:31
0
雪    币: 1079
活跃值: (4167)
能力值: ( LV5,RANK:69 )
在线值:
发帖
回帖
粉丝
12
谢谢了  收藏一份    很好的礼物   
2009-5-4 07:00
0
雪    币: 411
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
CCDebuger发的,一定要收藏的。
2009-5-4 09:34
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
我自己压了一个计算器脱不掉啊,也算是最大压缩吧
上传的附件:
2009-5-5 10:50
0
雪    币: 1481
活跃值: (874)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我测试到现在没一个能跑到OEP,主程序也不行....
2009-5-6 21:08
0
雪    币: 241
活跃值: (35)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
16
好东西,收下了,谢谢LZ的慷慨。。
2009-5-7 17:51
0
雪    币: 207
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
我准备下载测试一下,看看是不是向你说的?
2009-5-9 16:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gry
18
很不错的  支持楼主。。。
2009-5-9 17:30
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
好文章,收藏一下    辛苦了
2009-5-9 22:38
0
雪    币: 205
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
先收藏,再下载
2009-5-10 00:12
0
雪    币: 97697
活跃值: (200734)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
21
Thanks for share.
2009-5-10 00:21
0
雪    币: 226
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
下载回来试试
2009-6-12 14:42
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
好东西呀.谢谢楼主
2009-6-12 14:50
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
我也是,测试几个OD,都直接跑飞!
2009-6-13 20:56
0
雪    币: 195
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
太强大了。不收下对不起自己啊。
2009-6-29 02:00
0
游客
登录 | 注册 方可回帖
返回
//