[原创]RLPack v1.21 Full OEP Finder + Fix IAT Script v0.1-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]RLPack v1.21 Full OEP Finder + Fix IAT Script v0.1

发表于: 2009-4-30 22:55 14356

[原创]RLPack v1.21 Full OEP Finder + Fix IAT Script v0.1

CCDebuger

2009-4-30 22:55

14356

这个脚本是我自己写了来脱 RLPack v1.21 Full 主程序壳的。修复虚拟机我用的是 SND 论坛上 LCF-AT 发的 RLPack 1.21 VM Code Translater 1.0 脚本，在此表示感谢！LCF-AT 的原帖链接在这里：

http://forum.tuts4you.com/index.php?showtopic=19712

LCF-AT 发的这个 VM 修复脚本很不错，我已经放在附件中了。下面对我写的这个脚本作一些说明：

一、脚本针对的是使用了 RLPack v1.21 Full 一些高级保护选项的程序，目前的功能主要有：
1、移除壳所有的 Anti，没修改过的 OD 应该也可以调试；
2、自动在日志中列出原始程序的所有区段；
3、自动查找 OEP，若有 Stolen Code 的话，自动给出 Stolen Code 表达式的开始地址，可以在数据窗口定位到这个地址，显示方式选“长型->地址”，参考各个参数来修复 Stolen Code。这里是八个字节的参数代表一个指令，如这样的：
00C60000 00000003
00C60004 00000007
表示指令 push ebp。这些参数我没研究完，也没空看了。哪位有时间可以研究一下。
4、自动修复输入表，如果 Delphi 类的程序使用了RLPack 的 “Import Elimination protection”选项保护的话，会自动修复 IAT 的跳转表。

二、已知问题：
1、如果 delphi 类的程序使用了 RLPack 的“Thread Local Storage Protection”选项的话，不会自动恢复 TLS 表。以后有精力再完成这一部分。
2、可能支持 DLL，没测试。
3、断断续续写的，脚本看起来可能有点乱。

三、使用方法：
ODBGScript 插件需要 1.65 以上。载入加壳的程序后先跑我的脚本，跑完如果有 Stolen Code 的话，根据提示修复。有 VM 的话，根据日志窗口中看到的 OEP 地址，CTR+G 转到 OEP，右键选择“此处为新 EIP”，然后跑 LCF-AT 的 VM 修复脚本。这个可能要有一段时间。等脚本完成后 dump，修复输入表。若有 TLS 的话，则要自己修复。

四、附件压缩包中的文件说明：
RLPack.v1.21 Full OEP Finder + Fix IAT.txt：我写的脚本
RLPack 1.21 VM Code Translater 1.0.txt：LCF-AT 的 VM 修复脚本
OEP BYTES.txt：LCF-AT 写的 RLPack v1.21 Full 主程序入口点被抽的代码
RLPack.exe：我脱过壳的 RLPack v1.21 Full 主程序

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

RLPack.1.21.Full.Unpacked.rar （69.55kb，376次下载）

收藏・8

免费・7

支持

最新回复 (26) 1 2 ▶
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 2 楼这个不收藏的话对不住自己呀～ 2009-4-30 23:41 0
kunkun 雪币： 129 活跃值： (53) 能力值： ( LV9，RANK：220 ) 在线值：发帖 24 回帖 97 粉丝 1 关注私信	kunkun 5 3 楼 RLPACK的CODE REPLACE是壳的亮点楼主把它给省咯 2009-5-1 01:21 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 4 楼不清楚你说的 CODE REPLACE 指的是什么，是这个吗？ “• Advanced AntiDump protection: This option makes parts of your code allocate in different memory allocations on each program startup. Stolen instructions are further more morphed making them more difficult to restore. You can set the maximum number of instructions which are protected. Please note that each instruction increases the output file size by 2-4 bytes. ” 如果是这个，可以试试 LCF-AT 的 VM 修复脚本。 2009-5-1 11:42 0
疯子鱼雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 259 粉丝 0 关注私信	疯子鱼 5 楼收藏并学习之 2009-5-1 11:51 0
foshan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	foshan 6 楼好文章，收藏一下 2009-5-2 17:23 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 7 楼看了脱好RLPACK还是比较复杂 2009-5-2 18:54 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 8 楼确实不错,我也收藏一个 2009-5-2 22:05 0
binliao 雪币： 1373 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 68 粉丝 1 关注私信	binliao 9 楼下载收藏了。。。 2009-5-2 22:49 0
蚊香雪币： 557 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 460 粉丝 0 关注私信	蚊香 3 10 楼先收藏~~再测试 2009-5-3 00:35 0
smczx 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 177 粉丝 0 关注私信	smczx 11 楼这是好东西啊 2009-5-3 16:31 0
小菜鸟一雪币： 1079 活跃值： (4167) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 12 楼谢谢了收藏一份很好的礼物 2009-5-4 07:00 0
kmlch 雪币： 411 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 220 粉丝 0 关注私信	kmlch 13 楼 CCDebuger发的，一定要收藏的。 2009-5-4 09:34 0
网络风尘雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	网络风尘 14 楼我自己压了一个计算器脱不掉啊，也算是最大压缩吧上传的附件：计算器.rar （59.31kb，18次下载） 2009-5-5 10:50 0
hmilywen 雪币： 1481 活跃值： (874) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 15 楼我测试到现在没一个能跑到OEP,主程序也不行.... 2009-5-6 21:08 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 16 楼好东西，收下了，谢谢LZ的慷慨。。 2009-5-7 17:51 0
johnllon 雪币： 207 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	johnllon 17 楼我准备下载测试一下，看看是不是向你说的？ 2009-5-9 16:22 0
gry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 107 粉丝 0 关注私信	gry 18 楼很不错的支持楼主。。。 2009-5-9 17:30 0
appleai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	appleai 19 楼好文章，收藏一下辛苦了 2009-5-9 22:38 0
疯狂的牛雪币： 205 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	疯狂的牛 20 楼先收藏,再下载 2009-5-10 00:12 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 21 楼 Thanks for share. 2009-5-10 00:21 0
cssylj 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	cssylj 22 楼下载回来试试 2009-6-12 14:42 0
cutcut 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	cutcut 23 楼好东西呀.谢谢楼主 2009-6-12 14:50 0
bikaku 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 82 粉丝 0 关注私信	bikaku 24 楼我也是，测试几个OD，都直接跑飞！ 2009-6-13 20:56 0
ehome 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	ehome 25 楼太强大了。不收下对不起自己啊。 2009-6-29 02:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CCDebuger

390

发帖

1843

回帖

990

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
CuteSnail 雪币： 452 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 342 粉丝 0 关注私信	CuteSnail 2 2 楼这个不收藏的话对不住自己呀～ 2009-4-30 23:41 0
kunkun 雪币： 129 活跃值： (53) 能力值： ( LV9，RANK：220 ) 在线值：发帖 24 回帖 97 粉丝 1 关注私信	kunkun 5 3 楼 RLPACK的CODE REPLACE是壳的亮点楼主把它给省咯 2009-5-1 01:21 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 4 楼不清楚你说的 CODE REPLACE 指的是什么，是这个吗？ “• Advanced AntiDump protection: This option makes parts of your code allocate in different memory allocations on each program startup. Stolen instructions are further more morphed making them more difficult to restore. You can set the maximum number of instructions which are protected. Please note that each instruction increases the output file size by 2-4 bytes. ” 如果是这个，可以试试 LCF-AT 的 VM 修复脚本。 2009-5-1 11:42 0
疯子鱼雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 259 粉丝 0 关注私信	疯子鱼 5 楼收藏并学习之 2009-5-1 11:51 0
foshan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	foshan 6 楼好文章，收藏一下 2009-5-2 17:23 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 7 楼看了脱好RLPACK还是比较复杂 2009-5-2 18:54 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 8 楼确实不错,我也收藏一个 2009-5-2 22:05 0
binliao 雪币： 1373 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 68 粉丝 1 关注私信	binliao 9 楼下载收藏了。。。 2009-5-2 22:49 0
蚊香雪币： 557 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 460 粉丝 0 关注私信	蚊香 3 10 楼先收藏~~再测试 2009-5-3 00:35 0
smczx 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 177 粉丝 0 关注私信	smczx 11 楼这是好东西啊 2009-5-3 16:31 0
小菜鸟一雪币： 1079 活跃值： (4167) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 12 楼谢谢了收藏一份很好的礼物 2009-5-4 07:00 0
kmlch 雪币： 411 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 220 粉丝 0 关注私信	kmlch 13 楼 CCDebuger发的，一定要收藏的。 2009-5-4 09:34 0
网络风尘雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	网络风尘 14 楼我自己压了一个计算器脱不掉啊，也算是最大压缩吧上传的附件：计算器.rar （59.31kb，18次下载） 2009-5-5 10:50 0
hmilywen 雪币： 1481 活跃值： (874) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 15 楼我测试到现在没一个能跑到OEP,主程序也不行.... 2009-5-6 21:08 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 16 楼好东西，收下了，谢谢LZ的慷慨。。 2009-5-7 17:51 0
johnllon 雪币： 207 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	johnllon 17 楼我准备下载测试一下，看看是不是向你说的？ 2009-5-9 16:22 0
gry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 107 粉丝 0 关注私信	gry 18 楼很不错的支持楼主。。。 2009-5-9 17:30 0
appleai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	appleai 19 楼好文章，收藏一下辛苦了 2009-5-9 22:38 0
疯狂的牛雪币： 205 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	疯狂的牛 20 楼先收藏,再下载 2009-5-10 00:12 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 21 楼 Thanks for share. 2009-5-10 00:21 0
cssylj 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	cssylj 22 楼下载回来试试 2009-6-12 14:42 0
cutcut 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	cutcut 23 楼好东西呀.谢谢楼主 2009-6-12 14:50 0
bikaku 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 82 粉丝 0 关注私信	bikaku 24 楼我也是，测试几个OD，都直接跑飞！ 2009-6-13 20:56 0
ehome 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	ehome 25 楼太强大了。不收下对不起自己啊。 2009-6-29 02:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复