苦恼,PESPin1.0的PE头方式偷代码-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

苦恼,PESPin1.0的PE头方式偷代码

发表于: 2005-1-5 18:36 6613

苦恼,PESPin1.0的PE头方式偷代码

David

2005-1-5 18:36

6613

PESPin1.0的PE头方式偷代码,分别找到所有或许可以修复,但很累.

有没有能整个区段方式处理掉的方法,请fly指点一下,forgot勿怪我点将.

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (26) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 loveboom写过用脚本修复的方法吧？ 2005-1-5 19:02 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 3 楼还看不懂，不过，凭蛮力可以拿下来，想得差不多了。就是今天事多，无法静心分析。 2005-1-5 20:35 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 4 楼其实我觉得吧~ pe头的处理完全可以不管他，用原文件的pe头就好了，又不是像morphine那样。 2005-1-5 20:41 0
jdpack 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 131 粉丝 0 关注私信	jdpack 1 5 楼最初由 Lenus 发布其实我觉得吧~ pe头的处理完全可以不管他，用原文件的pe头就好了，又不是像morphine那样。误会。。。 2005-1-5 21:08 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 6 楼不调试不知道厉害,==== 2005-1-5 21:24 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 7 楼最初由 jdpack 发布误会。。。何解？ 2005-1-6 00:24 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 8 楼 :( Win2k下修复一夜,勉强搞定,除了打开菜单这个功能不小心没修复实在是变态啊,外壳不允许增加区段,还有病毒校验,只好利用壳中的间隙,重定位快把我搞疯,还好用Winhex省了不少事就是代码-PE头-代码换为代码重定位-壳重定位-代码重定位最后发现不能跨平台,壳中的IAT是随机的,脱出来没效果,二哥再次受打击,一病不起,附一个unpackme+fix.exe 真是失败. 附件：NOTEPAD21.rar 2005-1-6 01:02 0
辉仔Yock 雪币： 228 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 109 粉丝 1 关注私信	辉仔Yock 9 楼最初由 David 发布 :( Win2k下修复一夜,勉强搞定,除了打开菜单这个功能不小心没修复 ........ 活的办法也是可以加区段的.:D PUSHAD PUSH 40 PUSH 2000 PUSH 10000 //大小 PUSH 0 //随机看看哪个内存地址允许申请你要求的这个内存 CALL kernel32.VirtualAlloc PUSH 4 PUSH 1000 PUSH 10000 //大小 PUSH 0 //随机地址.最好是根据上面得到允许申请的地址之后填入这里 CALL kernel32.VirtualAlloc POPAD 2005-1-6 03:03 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 10 楼 i managed to unpack the notepad but left 1 place dun know how to fix 004018F1 .- E9 15EBFFFF JMP UnpackMe.0040040B <--- this place 004018F6 14 DB 14 0040040B - E9 F95400FD JMP FD405909 <--the code jump here 00400410 49 DEC ECX but after checking the original file i get this code 004018F1 . \E9134000 DD dumped_.004013E9 <---correct code 004018F5 . FF144000 DD dumped_.004014FF no idea how to get that.... 附件：dumped_.rar 2005-1-6 05:56 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 11 楼最初由 stephenteh 发布 i managed to unpack the notepad but left 1 place dun know how to fix 004018F1 .- E9 15EBFFFF JMP UnpackMe.0040040B <--- this place 004018F6 14 DB 14 ........ :p 和我一样没解决壳中iat跨平台问题. 2005-1-6 07:28 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 12 楼最初由辉仔Yock 发布活的办法也是可以加区段的.:D PUSHAD ........ 无特别意思,壳的部分空间刚好利用,而且重定位方便批量修改. 2005-1-6 07:31 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 13 楼 To辉仔有效的4xxxxx-600000都被pespin申请了,极度bt 我怎么也无法申请到一个有效的高位地址,什么原因啊. 2005-1-6 08:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼 PESPin V1.0 我不是N久以前就放过一个UnPacked ？论坛里应该还能找到 2005-1-6 09:01 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 15 楼最初由 David 发布 To辉仔有效的4xxxxx-600000都被pespin申请了,极度bt 我怎么也无法申请到一个有效的高位地址,什么原因啊. 再往上面找找，应该还能找到CF0000的地址，属性为free:D 2005-1-6 14:11 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 16 楼 :D 从头到尾了，还用说吗/?方法有N种，你可以用壳的那段空间，你也可以用脚本完全修复，你也可以自己加段的方式.快到oep的地方直接修改一下就行了. 关于IAT的处理我也写过了，壳并没有真正的把IAT抹掉，好像是改成EA..jmp表的方式，具体如果不明白你自己去对照一下吧 2005-1-6 14:42 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 17 楼对不起是我轻敌了。附件中的Unpackme有问题? 选文件\|打开异常。这个壳的replaced code有些麻烦，用脚本感觉不大方便了，干脆写个程序来做。:( 2005-1-6 17:11 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 18 楼最初由 Lenus 发布再往上面找找，应该还能找到CF0000的地址，属性为free:D 我填入了address值为没有使用的内存值，alt+f9怎么也无法让eax不是0，即是失败。 2005-1-7 16:31 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 19 楼最初由 softworm 发布对不起是我轻敌了。附件中的Unpackme有问题? 选文件\|打开异常。这个壳的replaced code有些麻烦，用脚本 ........ 好像加壳的记事本打开就是错的，bug.自己用pespin加密试试，这个文件部分被我写入了脱壳代码。 2005-1-7 16:34 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 20 楼最初由 softworm 发布对不起是我轻敌了。附件中的Unpackme有问题? 选文件\|打开异常。这个壳的replaced code有些麻烦，用脚本 ........ 脚本我不会，我是用winhex修改的。累死了。 2005-1-7 16:38 0
randomizer 雪币： 214 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	randomizer 2 21 楼脚本偶也不会写了两小段来修理它，结果还是将就吧:D 附件：d_.rar 2005-1-7 16:49 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 22 楼最初由 David 发布好像加壳的记事本打开就是错的，bug.自己用pespin加密试试，这个文件部分被我写入了脱壳代码。我晕。不想重新加了,就用这个吧。我上次没看清楚，jmp到pe头的代码不能简单copy回来,数据的bytes数也不定。另外，我现在的脚本没有修复 mov esi,api call esi 这种类型的replaced code (仍旧call到壳内IAT了) 脚本编起程序来有点不好用，我打算放弃了,用VC写,用ReadProcessMemory 读出来修复。还需要点时间。:) 2005-1-7 17:09 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 23 楼直接pe头二进复制经常损坏pe文件。 2005-1-7 17:10 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 24 楼 :( 不懂编程的人怎么办， 2005-1-7 17:12 0
randomizer 雪币： 214 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	randomizer 2 25 楼只好 2005-1-7 17:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

David

发帖

404

回帖

810

RANK

关注

私信

他的文章

怎样做才能成为高级会员 3611

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 loveboom写过用脚本修复的方法吧？ 2005-1-5 19:02 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 3 楼还看不懂，不过，凭蛮力可以拿下来，想得差不多了。就是今天事多，无法静心分析。 2005-1-5 20:35 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 4 楼其实我觉得吧~ pe头的处理完全可以不管他，用原文件的pe头就好了，又不是像morphine那样。 2005-1-5 20:41 0
jdpack 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 131 粉丝 0 关注私信	jdpack 1 5 楼最初由 Lenus 发布其实我觉得吧~ pe头的处理完全可以不管他，用原文件的pe头就好了，又不是像morphine那样。误会。。。 2005-1-5 21:08 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 6 楼不调试不知道厉害,==== 2005-1-5 21:24 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 7 楼最初由 jdpack 发布误会。。。何解？ 2005-1-6 00:24 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 8 楼 :( Win2k下修复一夜,勉强搞定,除了打开菜单这个功能不小心没修复实在是变态啊,外壳不允许增加区段,还有病毒校验,只好利用壳中的间隙,重定位快把我搞疯,还好用Winhex省了不少事就是代码-PE头-代码换为代码重定位-壳重定位-代码重定位最后发现不能跨平台,壳中的IAT是随机的,脱出来没效果,二哥再次受打击,一病不起,附一个unpackme+fix.exe 真是失败. 附件：NOTEPAD21.rar 2005-1-6 01:02 0
辉仔Yock 雪币： 228 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 109 粉丝 1 关注私信	辉仔Yock 9 楼最初由 David 发布 :( Win2k下修复一夜,勉强搞定,除了打开菜单这个功能不小心没修复 ........ 活的办法也是可以加区段的.:D PUSHAD PUSH 40 PUSH 2000 PUSH 10000 //大小 PUSH 0 //随机看看哪个内存地址允许申请你要求的这个内存 CALL kernel32.VirtualAlloc PUSH 4 PUSH 1000 PUSH 10000 //大小 PUSH 0 //随机地址.最好是根据上面得到允许申请的地址之后填入这里 CALL kernel32.VirtualAlloc POPAD 2005-1-6 03:03 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 10 楼 i managed to unpack the notepad but left 1 place dun know how to fix 004018F1 .- E9 15EBFFFF JMP UnpackMe.0040040B <--- this place 004018F6 14 DB 14 0040040B - E9 F95400FD JMP FD405909 <--the code jump here 00400410 49 DEC ECX but after checking the original file i get this code 004018F1 . \E9134000 DD dumped_.004013E9 <---correct code 004018F5 . FF144000 DD dumped_.004014FF no idea how to get that.... 附件：dumped_.rar 2005-1-6 05:56 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 11 楼最初由 stephenteh 发布 i managed to unpack the notepad but left 1 place dun know how to fix 004018F1 .- E9 15EBFFFF JMP UnpackMe.0040040B <--- this place 004018F6 14 DB 14 ........ :p 和我一样没解决壳中iat跨平台问题. 2005-1-6 07:28 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 12 楼最初由辉仔Yock 发布活的办法也是可以加区段的.:D PUSHAD ........ 无特别意思,壳的部分空间刚好利用,而且重定位方便批量修改. 2005-1-6 07:31 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 13 楼 To辉仔有效的4xxxxx-600000都被pespin申请了,极度bt 我怎么也无法申请到一个有效的高位地址,什么原因啊. 2005-1-6 08:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼 PESPin V1.0 我不是N久以前就放过一个UnPacked ？论坛里应该还能找到 2005-1-6 09:01 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 15 楼最初由 David 发布 To辉仔有效的4xxxxx-600000都被pespin申请了,极度bt 我怎么也无法申请到一个有效的高位地址,什么原因啊. 再往上面找找，应该还能找到CF0000的地址，属性为free:D 2005-1-6 14:11 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 16 楼 :D 从头到尾了，还用说吗/?方法有N种，你可以用壳的那段空间，你也可以用脚本完全修复，你也可以自己加段的方式.快到oep的地方直接修改一下就行了. 关于IAT的处理我也写过了，壳并没有真正的把IAT抹掉，好像是改成EA..jmp表的方式，具体如果不明白你自己去对照一下吧 2005-1-6 14:42 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 17 楼对不起是我轻敌了。附件中的Unpackme有问题? 选文件\|打开异常。这个壳的replaced code有些麻烦，用脚本感觉不大方便了，干脆写个程序来做。:( 2005-1-6 17:11 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 18 楼最初由 Lenus 发布再往上面找找，应该还能找到CF0000的地址，属性为free:D 我填入了address值为没有使用的内存值，alt+f9怎么也无法让eax不是0，即是失败。 2005-1-7 16:31 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 19 楼最初由 softworm 发布对不起是我轻敌了。附件中的Unpackme有问题? 选文件\|打开异常。这个壳的replaced code有些麻烦，用脚本 ........ 好像加壳的记事本打开就是错的，bug.自己用pespin加密试试，这个文件部分被我写入了脱壳代码。 2005-1-7 16:34 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 20 楼最初由 softworm 发布对不起是我轻敌了。附件中的Unpackme有问题? 选文件\|打开异常。这个壳的replaced code有些麻烦，用脚本 ........ 脚本我不会，我是用winhex修改的。累死了。 2005-1-7 16:38 0
randomizer 雪币： 214 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	randomizer 2 21 楼脚本偶也不会写了两小段来修理它，结果还是将就吧:D 附件：d_.rar 2005-1-7 16:49 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 22 楼最初由 David 发布好像加壳的记事本打开就是错的，bug.自己用pespin加密试试，这个文件部分被我写入了脱壳代码。我晕。不想重新加了,就用这个吧。我上次没看清楚，jmp到pe头的代码不能简单copy回来,数据的bytes数也不定。另外，我现在的脚本没有修复 mov esi,api call esi 这种类型的replaced code (仍旧call到壳内IAT了) 脚本编起程序来有点不好用，我打算放弃了,用VC写,用ReadProcessMemory 读出来修复。还需要点时间。:) 2005-1-7 17:09 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 23 楼直接pe头二进复制经常损坏pe文件。 2005-1-7 17:10 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 24 楼 :( 不懂编程的人怎么办， 2005-1-7 17:12 0
randomizer 雪币： 214 活跃值： (100) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 48 粉丝 0 关注私信	randomizer 2 25 楼只好 2005-1-7 17:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复