[原创]制作ASPack免杀壳.申请邀请码!-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]制作ASPack免杀壳.申请邀请码! 0.00雪花

发表于: 2009-5-18 21:39 2185

[旧帖] [原创]制作ASPack免杀壳.申请邀请码! 0.00雪花

PYG

2009-5-18 21:39

2185

【破文标题】制作ASPack免杀壳
【破文作者】PYG
【作者邮箱】china_pyg@yahoo.cn
【破解声明】只用于研究,请勿用于非法用途!

ESP定律脱之，OD载入，停在：

00434001 PolyC>  60                 pushad                    // F8   hr esp
00434002         E8 03000000        call PolyCryp.0043400A
00434007       - E9 EB045D45        jmp 45A044F7

F9　来到：

004343B0        /75 08              jnz short PolyCryp.004343BA         //F8
004343B2        |B8 01000000        mov eax,1
004343B7        |C2 0C00            retn 0C     
004343BA        \68 0D304300        push PolyCryp.0043300D             //F8      
004343BF         C3                 retn                              //飞向OEP
....
0043300D         60                 pushad                           //Dump it..
0043300E         E8 EDFFFFFF        call PolyCryp.00433000

第二层：PolyCrypt PE

也可以用ESP定律方法　

内存映射，区段=CODE 下内存断点，F9

004330A4         8B10               mov edx,dword ptr ds:[eax]
004330A6         33C0               xor eax,eax
004330A8         64:8B40 30         mov eax,dword ptr fs:[eax+30]

内存映射，区段=DATA 下内存断点，F9

77F51292         F2:AE              repne scas byte ptr es:[edi]
77F51294         F7D1               not ecx
77F51296         81F9 FFFF0000      cmp ecx,0FFFF
77F5129C         76 05              jbe short ntdll.77F512A3

内存映射，区段=.idata 下内存断点，F9

00403816       - FF25 C4824000      jmp dword ptr ds:[4082C4]          ; F8
0040381C       - FF25 CC824000      jmp dword ptr ds:[4082CC]          ; comdlg32.GetOpenFileNameA
00403822       - FF25 D4824000      jmp dword ptr ds:[4082D4]          ; COMCTL32.InitCommonControls
00403828         0000               add byte ptr ds:[eax],al
0040382A         0000               add byte ptr ds:[eax],al

71F2D38D ulib.>  8BFF               mov edi,edi                        ; ntdll.77F63268
71F2D38F         55                 push ebp
71F2D390         8BEC               mov ebp,esp
71F2D392         5D                 pop ebp
71F2D393       - FF25 0411F271      jmp dword ptr ds:[<&KERNEL32.FreeL>; kernel32.FreeLibrary

一直F8，来到

00401018         E8 DF260000        call 3300D.004036FC                ; 随便找个地方dump都行，晕... 
0040101D         8BF0               mov esi,eax
0040101F         8BFE               mov edi,esi
00401021         47                 inc edi
00401022         B0 22              mov al,22
00401024         B9 FF000000        mov ecx,0FF
00401029         F2:AE              repne scas byte ptr es:[edi]
0040102B         F2:AE              repne scas byte ptr es:[edi]
0040102D         57                 push edi

=====================================================================
ESP定律：

0043300D 3300D>  60                    pushad           //F8 Hr esp
0043300E         E8 EDFFFFFF           call 3300D.00433000
00433013       ^ EB F1                 jmp short 3300D.00433006

F9来到：

0043342E         68 00104000           push 3300D.00401000   //F8
00433433         C3                    retn                 //F8
00433434         0000                  add byte ptr ds:[eax],al

....稍停一下后，来到：

00401000         68 00404000           push                3300D.00404000                ; 在这里dump
00401005         E8 16270000           call 3300D.00403720                ; jmp 到

=================================================================

修复IAT　再PEID! 查毒!OK了!

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (28) 1 2 ▶
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 2 楼申请邀请码谢谢! 2009-5-18 22:35 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 3 楼这个版块没人管么? 2009-5-19 20:39 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 4 楼 LZ的id和邮箱都很PYG官方化啊得请飘云老大来验证下何许人也 2009-5-19 20:52 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 5 楼此ID甚为敏感, LZ的PYG的管理员? PS: 你取这个名字，想必不会通过的了, 免得造成误会 2009-5-19 20:54 0
快乐稻草雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	快乐稻草 6 楼我想也是飘云老大我好崇拜的~~~~~~ 2009-5-19 21:03 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 7 楼本人非飘云管理员! 飘云是我最早学习的地方所以喜欢这个名字! 申请邀请码貌似和名字没关系吧! 只求能够申请邀请码如造成不便得到邀请码不会用这个id 注册! 希望管理能够批准!谢谢! 2009-5-20 12:57 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 8 楼没人审核? ` 2009-5-21 12:31 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 9 楼不是很了解 "制作ASPack免杀壳" 的意思.. 你是说壳还在, 并且不论包了什么软件都不会让防毒软件报毒的意思吗 ? 2009-5-21 15:16 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 10 楼可以用此方法举一反三达到楼上效果! 2009-5-21 20:15 0
inioo 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 206 粉丝 0 关注私信	inioo 11 楼支持一下楼主只贴代码，描述过少了点吧。 2009-5-21 20:26 0
kkmmll 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 0 关注私信	kkmmll 12 楼支持一下樓主 2009-5-21 21:27 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 13 楼谢谢支持！等了好多天都没信啊~ 2009-5-22 21:19 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 14 楼见过名字后面挂[PYG]的,没见过你这样直接PYG的.. 如果爱PYG就在PYG发扬光大吧.. 跑看雪来捣什么乱.. 2009-5-25 21:25 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 15 楼只想要个邀请码来学习啊~~难道就这么难么? 2009-5-25 21:40 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 16 楼一个ID引发的争议说实话没看懂写的是什么貌似是脱了一个加壳的程序 2009-5-26 08:46 0
疯子鱼雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 259 粉丝 0 关注私信	疯子鱼 17 楼标题党啊不就是脱了个压缩壳嘛 2009-5-26 15:25 0
小龙程序雪币： 67 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	小龙程序 18 楼呵呵！看管理员怎么看咯！ 2009-5-26 16:15 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 19 楼嘻嘻 ·· 2009-5-26 21:51 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 20 楼我也没看懂写什么~~ 就简单脱了下壳~ title party. 2009-5-27 14:08 0
绿豆青蛙雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 128 粉丝 0 关注私信	绿豆青蛙 21 楼 I think so........ 2009-5-27 14:24 0
Ivanov 雪币： 1334 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 226 回帖 1054 粉丝 2 关注私信	Ivanov 22 楼不好意思，这个ID名字我不好给予邀请码，请见谅 2009-5-29 20:26 0
madsys 雪币： 328 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 158 粉丝 0 关注私信	madsys 24 楼感觉就是脱了一个加了几层壳的程序啊,并没有说这个程序加上这几层壳后,就能免杀? 可以避过哪些杀毒程序? 能否具体点? 2009-6-20 23:48 0
一方秋水雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	一方秋水 25 楼 wynney ....想不到心中的英雄竟然在这里看到了...你跟你学学，要是能指导指导就好了.... 2009-6-21 00:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

PYG

发帖

回帖

RANK

关注

私信

他的文章

简单壳 1660
[原创]制作ASPack免杀壳.申请邀请码! 2186

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 2 楼申请邀请码谢谢! 2009-5-18 22:35 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 3 楼这个版块没人管么? 2009-5-19 20:39 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 4 楼 LZ的id和邮箱都很PYG官方化啊得请飘云老大来验证下何许人也 2009-5-19 20:52 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 5 楼此ID甚为敏感, LZ的PYG的管理员? PS: 你取这个名字，想必不会通过的了, 免得造成误会 2009-5-19 20:54 0
快乐稻草雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	快乐稻草 6 楼我想也是飘云老大我好崇拜的~~~~~~ 2009-5-19 21:03 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 7 楼本人非飘云管理员! 飘云是我最早学习的地方所以喜欢这个名字! 申请邀请码貌似和名字没关系吧! 只求能够申请邀请码如造成不便得到邀请码不会用这个id 注册! 希望管理能够批准!谢谢! 2009-5-20 12:57 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 8 楼没人审核? ` 2009-5-21 12:31 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 9 楼不是很了解 "制作ASPack免杀壳" 的意思.. 你是说壳还在, 并且不论包了什么软件都不会让防毒软件报毒的意思吗 ? 2009-5-21 15:16 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 10 楼可以用此方法举一反三达到楼上效果! 2009-5-21 20:15 0
inioo 雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 206 粉丝 0 关注私信	inioo 11 楼支持一下楼主只贴代码，描述过少了点吧。 2009-5-21 20:26 0
kkmmll 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 0 关注私信	kkmmll 12 楼支持一下樓主 2009-5-21 21:27 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 13 楼谢谢支持！等了好多天都没信啊~ 2009-5-22 21:19 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 14 楼见过名字后面挂[PYG]的,没见过你这样直接PYG的.. 如果爱PYG就在PYG发扬光大吧.. 跑看雪来捣什么乱.. 2009-5-25 21:25 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 15 楼只想要个邀请码来学习啊~~难道就这么难么? 2009-5-25 21:40 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 16 楼一个ID引发的争议说实话没看懂写的是什么貌似是脱了一个加壳的程序 2009-5-26 08:46 0
疯子鱼雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 259 粉丝 0 关注私信	疯子鱼 17 楼标题党啊不就是脱了个压缩壳嘛 2009-5-26 15:25 0
小龙程序雪币： 67 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	小龙程序 18 楼呵呵！看管理员怎么看咯！ 2009-5-26 16:15 0
PYG 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	PYG 19 楼嘻嘻 ·· 2009-5-26 21:51 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 20 楼我也没看懂写什么~~ 就简单脱了下壳~ title party. 2009-5-27 14:08 0
绿豆青蛙雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 128 粉丝 0 关注私信	绿豆青蛙 21 楼 I think so........ 2009-5-27 14:24 0
Ivanov 雪币： 1334 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 226 回帖 1054 粉丝 2 关注私信	Ivanov 22 楼不好意思，这个ID名字我不好给予邀请码，请见谅 2009-5-29 20:26 0
madsys 雪币： 328 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 158 粉丝 0 关注私信	madsys 24 楼感觉就是脱了一个加了几层壳的程序啊,并没有说这个程序加上这几层壳后,就能免杀? 可以避过哪些杀毒程序? 能否具体点? 2009-6-20 23:48 0
一方秋水雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	一方秋水 25 楼 wynney ....想不到心中的英雄竟然在这里看到了...你跟你学学，要是能指导指导就好了.... 2009-6-21 00:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复