-
-
手动脱一伪装壳!
-
发表于: 2005-1-4 18:34
-
【破文作者】 LOCKLOSE
【作者主页】 HTTP://WWW.83.0.CN
----------------------------------------------------------------------
【破解工具】 OD,IMPR
【软件限制】 无
【破解平台】 XP SP2
----------------------------------------------------------------------
【软件简介】
Ywind【XCG】兄弟的作品,感觉很好玩!
----------------------------------------------------------------------
【破解过程】
用PEID查看会吓你一跳,据Ywind兄弟说是使用了二哥的一些方法~
壳经过改造,不过我可不管那么多,一路F7和F8,(典型的脱壳白痴行为)....
用OD载入后停留在
0040E0D6 a> /EB 07 jmp short anti-deb.0040E0DF <-停在这 F8过去
0040E0D8 |FFFF ??? ; 未知命令
0040E0DA |C6 ??? ; 未知命令
0040E0DB |21FF and edi,edi
0040E0DD |FF00 inc dword ptr ds:[eax]
0040E0DF \E8 11000000 call anti-deb.0040E0F5 ; jmp to kernel32.IsDebuggerPresent
F8直到下面这个位置
0040E128 64:A1 30000000 mov eax,dword ptr fs:[30]
0040E12E 0FB640 02 movzx eax,byte ptr ds:[eax+2]
0040E132 08C0 or al,al
0040E134 74 05 je short anti-deb.0040E13B
0040E136 E8 C0FFFFFF call anti-deb.0040E0FB ; jmp to kernel32.ExitProcess
0040E13B E8 41FFFFFF call anti-deb.0040E081 <-这里F7
跟进以后F8到这个位置
0040E000 6A 70 push 70
0040E002 68 96E04000 push anti-deb.0040E096
0040E007 E8 02000000 call anti-deb.0040E00E <-这里 F7
F7直到
0040D5E8 94 xchg eax,esp <-这里
0040D5E9 BC D1D54000 mov esp,anti-deb.0040D5D1
0040D5EE B9 17000000 mov ecx,17
0040D5F3 80340C DB xor byte ptr ss:[esp+ecx],0DB
0040D5F7 ^ E2 FA loopd short anti-deb.0040D5F3
0040D5F9 94 xchg eax,esp
0040D5FA 90 nop
0040D5FB 90 nop
0040D5FC 90 nop
0040D5FD FFE0 jmp eax
对0040D5FD FFE0 jmp eax 下断,F9
取消断点,F8过去
0040D5D1 B8 40C24000 mov eax,anti-deb.0040C240
0040D5D6 B9 5D010000 mov ecx,15D
0040D5DB 803408 08 xor byte ptr ds:[eax+ecx],8
0040D5DF ^ E2 FA loopd short anti-deb.0040D5DB
0040D5E1 FFE0 jmp eax
同样对0040D5E1 FFE0 jmp eax下断,F9后F8到
0040C240 60 pushad <-这里
0040C241 BE 00A04000 mov esi,anti-deb.0040A000 ; ASCII "水(?
0040C246 8DBE 0070FFFF lea edi,dword ptr ds:[esi+FFFF700>
0040C24C 57 push edi
0040C24D 83CD FF or ebp,FFFFFFFF
0040C250 EB 10 jmp short anti-deb.0040C262
这里可以使用ESP定律,所以在命令行里直接输入 HR ESP后F9运行,
0040C398 - E9 A350FFFF jmp anti-deb.00401440 <-停在这里 飞向光明顶啦.
0040C39D 0800 or byte ptr ds:[eax],al
F8过去.以后就可以DUMP了.然后用IMPR修复就可以了。VB程序!
----------------------------------------------------------------------
【破解心得】
这个伪装壳子改造的比较有意思.起初以为时VC编写的.后来发现被骗了.....
----------------------------------------------------------------------
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
【版权声明】 本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!
加壳文件下载
附件:anti-debug.rar
【作者主页】 HTTP://WWW.83.0.CN
----------------------------------------------------------------------
【破解工具】 OD,IMPR
【软件限制】 无
【破解平台】 XP SP2
----------------------------------------------------------------------
【软件简介】
Ywind【XCG】兄弟的作品,感觉很好玩!
----------------------------------------------------------------------
【破解过程】
用PEID查看会吓你一跳,据Ywind兄弟说是使用了二哥的一些方法~
壳经过改造,不过我可不管那么多,一路F7和F8,(典型的脱壳白痴行为)....
用OD载入后停留在
0040E0D6 a> /EB 07 jmp short anti-deb.0040E0DF <-停在这 F8过去
0040E0D8 |FFFF ??? ; 未知命令
0040E0DA |C6 ??? ; 未知命令
0040E0DB |21FF and edi,edi
0040E0DD |FF00 inc dword ptr ds:[eax]
0040E0DF \E8 11000000 call anti-deb.0040E0F5 ; jmp to kernel32.IsDebuggerPresent
F8直到下面这个位置
0040E128 64:A1 30000000 mov eax,dword ptr fs:[30]
0040E12E 0FB640 02 movzx eax,byte ptr ds:[eax+2]
0040E132 08C0 or al,al
0040E134 74 05 je short anti-deb.0040E13B
0040E136 E8 C0FFFFFF call anti-deb.0040E0FB ; jmp to kernel32.ExitProcess
0040E13B E8 41FFFFFF call anti-deb.0040E081 <-这里F7
跟进以后F8到这个位置
0040E000 6A 70 push 70
0040E002 68 96E04000 push anti-deb.0040E096
0040E007 E8 02000000 call anti-deb.0040E00E <-这里 F7
F7直到
0040D5E8 94 xchg eax,esp <-这里
0040D5E9 BC D1D54000 mov esp,anti-deb.0040D5D1
0040D5EE B9 17000000 mov ecx,17
0040D5F3 80340C DB xor byte ptr ss:[esp+ecx],0DB
0040D5F7 ^ E2 FA loopd short anti-deb.0040D5F3
0040D5F9 94 xchg eax,esp
0040D5FA 90 nop
0040D5FB 90 nop
0040D5FC 90 nop
0040D5FD FFE0 jmp eax
对0040D5FD FFE0 jmp eax 下断,F9
取消断点,F8过去
0040D5D1 B8 40C24000 mov eax,anti-deb.0040C240
0040D5D6 B9 5D010000 mov ecx,15D
0040D5DB 803408 08 xor byte ptr ds:[eax+ecx],8
0040D5DF ^ E2 FA loopd short anti-deb.0040D5DB
0040D5E1 FFE0 jmp eax
同样对0040D5E1 FFE0 jmp eax下断,F9后F8到
0040C240 60 pushad <-这里
0040C241 BE 00A04000 mov esi,anti-deb.0040A000 ; ASCII "水(?
0040C246 8DBE 0070FFFF lea edi,dword ptr ds:[esi+FFFF700>
0040C24C 57 push edi
0040C24D 83CD FF or ebp,FFFFFFFF
0040C250 EB 10 jmp short anti-deb.0040C262
这里可以使用ESP定律,所以在命令行里直接输入 HR ESP后F9运行,
0040C398 - E9 A350FFFF jmp anti-deb.00401440 <-停在这里 飞向光明顶啦.
0040C39D 0800 or byte ptr ds:[eax],al
F8过去.以后就可以DUMP了.然后用IMPR修复就可以了。VB程序!
----------------------------------------------------------------------
【破解心得】
这个伪装壳子改造的比较有意思.起初以为时VC编写的.后来发现被骗了.....
----------------------------------------------------------------------
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
【版权声明】 本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!
加壳文件下载
附件:anti-debug.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
 一样,win2k意见垃圾壳 |
|
|
|
|
|
|
|
|
|
|
|
最初由 fly 发布 昏迷...这么简单就搞定了...何苦我麻烦半天....
|
|
|
|
