首页
社区
课程
招聘
[旧帖] [原创]制作ASPack免杀壳.申请邀请码! 0.00雪花
发表于: 2009-5-18 21:39 2222

[旧帖] [原创]制作ASPack免杀壳.申请邀请码! 0.00雪花

2009-5-18 21:39
2222
【破文标题】制作ASPack免杀壳
【破文作者】PYG
【作者邮箱】china_pyg@yahoo.cn
【破解声明】只用于研究,请勿用于非法用途!

ESP定律脱之,OD载入,停在:

00434001 PolyC>  60                 pushad                    // F8   hr esp
00434002         E8 03000000        call PolyCryp.0043400A
00434007       - E9 EB045D45        jmp 45A044F7


F9 来到:

004343B0        /75 08              jnz short PolyCryp.004343BA         //F8
004343B2        |B8 01000000        mov eax,1
004343B7        |C2 0C00            retn 0C     
004343BA        \68 0D304300        push PolyCryp.0043300D             //F8      
004343BF         C3                 retn                              //飞向OEP
....
0043300D         60                 pushad                           //Dump it..
0043300E         E8 EDFFFFFF        call PolyCryp.00433000


第二层:PolyCrypt PE

也可以用ESP定律方法 

内存映射, 区段=CODE 下内存断点,F9
004330A4         8B10               mov edx,dword ptr ds:[eax]
004330A6         33C0               xor eax,eax
004330A8         64:8B40 30         mov eax,dword ptr fs:[eax+30]


内存映射, 区段=DATA 下内存断点,F9

77F51292         F2:AE              repne scas byte ptr es:[edi]
77F51294         F7D1               not ecx
77F51296         81F9 FFFF0000      cmp ecx,0FFFF
77F5129C         76 05              jbe short ntdll.77F512A3


内存映射, 区段=.idata 下内存断点,F9
00403816       - FF25 C4824000      jmp dword ptr ds:[4082C4]          ; F8
0040381C       - FF25 CC824000      jmp dword ptr ds:[4082CC]          ; comdlg32.GetOpenFileNameA
00403822       - FF25 D4824000      jmp dword ptr ds:[4082D4]          ; COMCTL32.InitCommonControls
00403828         0000               add byte ptr ds:[eax],al
0040382A         0000               add byte ptr ds:[eax],al

71F2D38D ulib.>  8BFF               mov edi,edi                        ; ntdll.77F63268
71F2D38F         55                 push ebp
71F2D390         8BEC               mov ebp,esp
71F2D392         5D                 pop ebp
71F2D393       - FF25 0411F271      jmp dword ptr ds:[<&KERNEL32.FreeL>; kernel32.FreeLibrary

一直F8,来到

00401018         E8 DF260000        call 3300D.004036FC                ; 随便找个地方dump都行,晕... 
0040101D         8BF0               mov esi,eax
0040101F         8BFE               mov edi,esi
00401021         47                 inc edi
00401022         B0 22              mov al,22
00401024         B9 FF000000        mov ecx,0FF
00401029         F2:AE              repne scas byte ptr es:[edi]
0040102B         F2:AE              repne scas byte ptr es:[edi]
0040102D         57                 push edi

=====================================================================
ESP定律:

0043300D 3300D>  60                    pushad           //F8 Hr esp
0043300E         E8 EDFFFFFF           call 3300D.00433000
00433013       ^ EB F1                 jmp short 3300D.00433006

F9来到:

0043342E         68 00104000           push 3300D.00401000   //F8
00433433         C3                    retn                 //F8
00433434         0000                  add byte ptr ds:[eax],al

....稍停一下后,来到:

00401000         68 00404000           push                3300D.00404000                ; 在这里dump
00401005         E8 16270000           call 3300D.00403720                ; jmp 到


=================================================================

修复IAT 再PEID! 查毒!OK了!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (28)
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYG
2
申请 邀请码 谢谢!
2009-5-18 22:35
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYG
3
这个版块没人管么?
2009-5-19 20:39
0
雪    币: 399
活跃值: (38)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
4
LZ的id和邮箱都很PYG官方化啊
得请飘云老大来验证下何许人也
2009-5-19 20:52
0
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
5
此ID甚为敏感, LZ的PYG的管理员?

PS: 你取这个名字,想必不会通过的了, 免得造成误会
2009-5-19 20:54
0
雪    币: 53
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我想也是 飘云老大 我好崇拜的~~~~~~
2009-5-19 21:03
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYG
7
本人非飘云管理员! 飘云是我最早学习的地方 所以喜欢这个名字!

申请邀请码 貌似和名字没关系吧! 只求能够申请邀请码 如造成不便 得到邀请码 不会用这个id 注册!

希望管理能够批准!谢谢!
2009-5-20 12:57
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYG
8
没人审核?          `
2009-5-21 12:31
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
9
不是很了解 "制作ASPack免杀壳" 的意思..
你是说壳还在,  并且不论包了什么软件都不会让防毒软件报毒的意思吗 ?
2009-5-21 15:16
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYG
10
可以用此方法举一反三达到楼上效果!
2009-5-21 20:15
0
雪    币: 348
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
  支持一下楼主  只贴代码,描述过少了点吧。
2009-5-21 20:26
0
雪    币: 34
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
支持一下樓主
2009-5-21 21:27
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYG
13
谢谢支持! 等了好多天都没信啊~
2009-5-22 21:19
0
雪    币: 279
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
14
见过名字后面挂[PYG]的,没见过你这样直接PYG的..
如果爱PYG就在PYG发扬光大吧..
跑看雪来捣什么乱..
2009-5-25 21:25
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYG
15
只想要个邀请码 来学习啊~~难道就这么难么?
2009-5-25 21:40
0
雪    币: 167
活跃值: (1574)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
16
一个ID引发的争议

说实话 没看懂写的是什么 貌似是脱了一个加壳的程序
2009-5-26 08:46
0
雪    币: 358
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
标题党啊

不就是脱了个压缩壳 嘛
2009-5-26 15:25
0
雪    币: 67
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
呵呵!看管理员怎么看咯!
2009-5-26 16:15
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
PYG
19
嘻嘻        ··
2009-5-26 21:51
0
雪    币: 1450
活跃值: (35)
能力值: (RANK:680 )
在线值:
发帖
回帖
粉丝
20
我也没看懂写什么~~    就简单脱了下壳~

title party.
2009-5-27 14:08
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
I think so........
2009-5-27 14:24
0
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
不好意思,这个ID名字我不好给予邀请码,请见谅
2009-5-29 20:26
0
雪    币: 328
活跃值: (34)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
感觉就是脱了一个加了几层壳的程序啊,并没有说这个程序加上这几层壳后,就能免杀?
可以避过哪些杀毒程序? 能否具体点?
2009-6-20 23:48
0
雪    币: 52
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
wynney ....想不到心中的英雄竟然在这里看到了...你跟你学学,要是能指导指导就好了....
2009-6-21 00:06
0
游客
登录 | 注册 方可回帖
返回
//