[原创]第二个试炼品，给新手玩-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]第二个试炼品，给新手玩

发表于: 2009-9-4 13:34 11183

[原创]第二个试炼品，给新手玩

th666

2009-9-4 13:34

11183

　　把我的壳做了点小改进，给新手练手玩，
　　最近在看BPE32，希望能所长进，
　　我作为一个非专业学计算机，学起来还真是辛苦，

[课程]Android-CTF解题方法汇总！

上传的附件：

NOTEPAD.rar （35.11kb，50次下载）

收藏・3

免费・7

支持

最新回复 (23)
kangk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	kangk 2 楼下来看看,楼主加油,我的专业更偏门了 2009-9-4 15:26 0
bootdisk 雪币： 218 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	bootdisk 3 楼好像和上次的差不多，修复IAT 最近也在写壳，敢问楼主，这样的加密方式只能手动修复吗上传的附件：脱壳.rar （152.21kb，20次下载） 2009-9-4 16:23 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 4 楼我不知道是不是只能手动修复，你试过自动方式行不行嘛？希望能在QQ上加你和上次有点差别的，因为你是手动修复，肯定是到OEP，然后DUMP，手动修复API，所以感觉没什么差别，如果是40个API以上的话，呵呵，你就会发现有区别了，在IAT加密的地方，使用了加花和反　INT　3断点，反硬件和反内存断点，暂时还没找到方法 2009-9-4 16:50 0
jingru 雪币： 102 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 171 粉丝 0 关注私信	jingru 5 楼 iat好像很分散啊.. 2009-9-4 17:20 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 6 楼由于看过上一版，刚才跑一次不到几分钟就就把你加密部分 NOP 了，脱出建议下一版去偷 CALL ，把这些偷来的代码，加密，跑到一处解一处，不要在循环内解决要把加密的方式多变，不然别人解决一个地方及 KO 了，还有，偷代码有一个要命的弱点如果别人重定向了你申请的空间，把数据放到自己加的区段里，那这种方式就被 F 了所以这些空间也要尽量分散前面的路很远，楼主的态度很好，所以乱说一下 2009-9-4 17:57 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 7 楼 yingyue 说的很对，我也想偷CALL，不过技术暂时不行，我现在的想法是尽量将IAT做分散，造成修复的困难，但如果加密部门被KO了，这种方式就不好操作了，所对，对于IAT加密部分，我准备再加多处的检验。这壳是我写来玩的，尽量把我的想法实施一下 bpe32引擎很不错，乱序+不间断检测+反硬件，INT　3，内存断点应该是好想法 2009-9-4 19:50 0
yvi 雪币： 265 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 0 关注私信	yvi 8 楼辛苦了，楼主 2009-9-5 21:41 0
myky 雪币： 400 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	myky 9 楼呵呵自己兄弟顶一下～！ 2009-9-5 22:09 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 10 楼大家感兴趣的话，贴一下脱壳方法，也可以互相学习一下 2009-9-6 14:46 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 11 楼此例, 到这里时 dump 00CD020D 03B3 AA060000 add esi, [ebx+6AA] ; 此为 IID 设好PE文件头的一些值, 例如 : OEP ' IID ' IIDSize .. 脱完了, 也没用到ImpRec. 所以连你在4楼写的一些anti'反..我全都没看到. 你加密全失效. 2009-9-6 16:18 0
cradiator 雪币： 356 活跃值： (38) 能力值： ( LV9，RANK：220 ) 在线值：发帖 16 回帖 51 粉丝 4 关注私信	cradiator 4 12 楼因为看过上一版的壳所以有些经验。 LZ新增加的的两个CALL分析了一下，不知有什么用，第一个使用了SEH但没有实际动作，第二个很乱而且edx不值指向什么。望指点。所以改了一下，CALL进去后直接RETN，然后把IAT加密的判断直接改成JMP。到OEP处脱壳~~ 上传的附件： dump.rar （151.65kb，16次下载） 2009-9-6 17:03 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 13 楼 sessiondiy太强悍了，上次看了你的VMP反反这初，小弟佩服得五体投地。 cradiator：实际增加的好像是4个CALL，其中一个是插入花指令，花写得稀烂。 SEH那个是有动作的，如果你在几个JNZ中下硬件断点的话，应该会中断不下来的，第二个CALL我不知道你说是不是扫描CC那个。希望能加你QQ，我QQ为41382440 2009-9-6 21:20 0
natyou 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	natyou 14 楼单步法很快就可以来到OEP主要还是IAT修复，几个jmp之后到达foep?最后一个retn到达OEP 2009-9-7 13:32 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 15 楼新手，最近也在写壳，如果3个月前看到你这个程序就好了，能节约不少时间。这个壳的强度需要再应用几个技术才能达到04年一般的商业壳的普遍水准。希望楼主继续努力。向着夕阳奔跑吧！附个小建议：猥琐点的GetProcAddress: 可以把IAT处理前的代码所需要用到这个函数的地方全部调用系统DLL的那个，不要用你自己的（但是检测系统GetProcAddress是否被下断也有要）。等到IAT处理的时候，使用自己的GetProcAddress函数。这样能抵挡脱壳新手一段分析的时间。（你自己的GetProcAddress没有花指令，稍微加花比较好。想做的更好，那把自己实现的GetProcAddress函数写的无比复杂，代码N多，别人一看就不想跟，有一定经验的人判断你是自己实现GetProcAddress函数就不跟直接F8，但是你在里面偷偷的效验代码什么的，比较时间差什么的，尽量猥琐，那么会有一些人郁闷的F7去跟吧，不断打击脱壳者的信心和耐心，我们这样水平做到这点就够好了吧。） PS：发现写壳有瓶颈，写着写着不满意，更猛的技术不钻研1个星期，理论上就拿不出方案来，最近不听歌的话看见汇编代码就想发呆。写个好一点的壳，真是耗时间耗精力的体力活。 2009-9-7 17:14 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 16 楼楼上说得对，路还很远的，而且对于sessiondiy 的最佳脱壳点（我这样称呼）真是太猛了，不知道能不能延升到其他壳，我感觉上似乎能行的，希望sessiondiy 能解答一下，是否所以的壳都会在内存中或以明码，或以加密方式出现完整的IAT一次。 2009-9-7 19:29 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 17 楼现在的壳已无: "出现完整的IAT一次" 建议你研究一些商业壳 (不需自行从头追码, 但是你可配合网上大量的脱壳文章) 即知为何没有了. 2009-9-7 20:03 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 18 楼谢谢sessiondiy大大的指点，我去找资料了，还得学习的东西还多 2009-9-7 20:42 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 19 楼做了点小更新，对最佳脱壳点还是没有好方法 2009-9-10 13:23 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 20 楼谢谢楼上的建议，已经采用的你的方法来做了，不过最佳脱壳点的问题还是没找到好的方法解决 2009-9-18 19:51 0
natyou 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	natyou 21 楼楼主编写外壳的水平我何时才能达到呢？脱了一份，学习一下上传的附件： Unpack_NOTEPAD.rar （35.66kb，5次下载） 2009-9-20 14:03 0
rerefrancd 雪币： 314 活跃值： (271) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 153 粉丝 5 关注私信	rerefrancd 1 22 楼专业不重要，我还是专门学这方面的都没学好，用心就行 2009-9-20 14:06 0
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 23 楼有完整的分析了，http://user.qzone.qq.com/121786282/blog/1253519590 2009-9-21 22:21 0
微软雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	微软 24 楼不错的软件，值得收藏~~~ 2009-9-22 14:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

th666

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
kangk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	kangk 2 楼下来看看,楼主加油,我的专业更偏门了 2009-9-4 15:26 0
bootdisk 雪币： 218 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	bootdisk 3 楼好像和上次的差不多，修复IAT 最近也在写壳，敢问楼主，这样的加密方式只能手动修复吗上传的附件：脱壳.rar （152.21kb，20次下载） 2009-9-4 16:23 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 4 楼我不知道是不是只能手动修复，你试过自动方式行不行嘛？希望能在QQ上加你和上次有点差别的，因为你是手动修复，肯定是到OEP，然后DUMP，手动修复API，所以感觉没什么差别，如果是40个API以上的话，呵呵，你就会发现有区别了，在IAT加密的地方，使用了加花和反　INT　3断点，反硬件和反内存断点，暂时还没找到方法 2009-9-4 16:50 0
jingru 雪币： 102 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 171 粉丝 0 关注私信	jingru 5 楼 iat好像很分散啊.. 2009-9-4 17:20 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 6 楼由于看过上一版，刚才跑一次不到几分钟就就把你加密部分 NOP 了，脱出建议下一版去偷 CALL ，把这些偷来的代码，加密，跑到一处解一处，不要在循环内解决要把加密的方式多变，不然别人解决一个地方及 KO 了，还有，偷代码有一个要命的弱点如果别人重定向了你申请的空间，把数据放到自己加的区段里，那这种方式就被 F 了所以这些空间也要尽量分散前面的路很远，楼主的态度很好，所以乱说一下 2009-9-4 17:57 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 7 楼 yingyue 说的很对，我也想偷CALL，不过技术暂时不行，我现在的想法是尽量将IAT做分散，造成修复的困难，但如果加密部门被KO了，这种方式就不好操作了，所对，对于IAT加密部分，我准备再加多处的检验。这壳是我写来玩的，尽量把我的想法实施一下 bpe32引擎很不错，乱序+不间断检测+反硬件，INT　3，内存断点应该是好想法 2009-9-4 19:50 0
yvi 雪币： 265 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 0 关注私信	yvi 8 楼辛苦了，楼主 2009-9-5 21:41 0
myky 雪币： 400 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	myky 9 楼呵呵自己兄弟顶一下～！ 2009-9-5 22:09 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 10 楼大家感兴趣的话，贴一下脱壳方法，也可以互相学习一下 2009-9-6 14:46 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 11 楼此例, 到这里时 dump 00CD020D 03B3 AA060000 add esi, [ebx+6AA] ; 此为 IID 设好PE文件头的一些值, 例如 : OEP ' IID ' IIDSize .. 脱完了, 也没用到ImpRec. 所以连你在4楼写的一些anti'反..我全都没看到. 你加密全失效. 2009-9-6 16:18 0
cradiator 雪币： 356 活跃值： (38) 能力值： ( LV9，RANK：220 ) 在线值：发帖 16 回帖 51 粉丝 4 关注私信	cradiator 4 12 楼因为看过上一版的壳所以有些经验。 LZ新增加的的两个CALL分析了一下，不知有什么用，第一个使用了SEH但没有实际动作，第二个很乱而且edx不值指向什么。望指点。所以改了一下，CALL进去后直接RETN，然后把IAT加密的判断直接改成JMP。到OEP处脱壳~~ 上传的附件： dump.rar （151.65kb，16次下载） 2009-9-6 17:03 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 13 楼 sessiondiy太强悍了，上次看了你的VMP反反这初，小弟佩服得五体投地。 cradiator：实际增加的好像是4个CALL，其中一个是插入花指令，花写得稀烂。 SEH那个是有动作的，如果你在几个JNZ中下硬件断点的话，应该会中断不下来的，第二个CALL我不知道你说是不是扫描CC那个。希望能加你QQ，我QQ为41382440 2009-9-6 21:20 0
natyou 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	natyou 14 楼单步法很快就可以来到OEP主要还是IAT修复，几个jmp之后到达foep?最后一个retn到达OEP 2009-9-7 13:32 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 15 楼新手，最近也在写壳，如果3个月前看到你这个程序就好了，能节约不少时间。这个壳的强度需要再应用几个技术才能达到04年一般的商业壳的普遍水准。希望楼主继续努力。向着夕阳奔跑吧！附个小建议：猥琐点的GetProcAddress: 可以把IAT处理前的代码所需要用到这个函数的地方全部调用系统DLL的那个，不要用你自己的（但是检测系统GetProcAddress是否被下断也有要）。等到IAT处理的时候，使用自己的GetProcAddress函数。这样能抵挡脱壳新手一段分析的时间。（你自己的GetProcAddress没有花指令，稍微加花比较好。想做的更好，那把自己实现的GetProcAddress函数写的无比复杂，代码N多，别人一看就不想跟，有一定经验的人判断你是自己实现GetProcAddress函数就不跟直接F8，但是你在里面偷偷的效验代码什么的，比较时间差什么的，尽量猥琐，那么会有一些人郁闷的F7去跟吧，不断打击脱壳者的信心和耐心，我们这样水平做到这点就够好了吧。） PS：发现写壳有瓶颈，写着写着不满意，更猛的技术不钻研1个星期，理论上就拿不出方案来，最近不听歌的话看见汇编代码就想发呆。写个好一点的壳，真是耗时间耗精力的体力活。 2009-9-7 17:14 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 16 楼楼上说得对，路还很远的，而且对于sessiondiy 的最佳脱壳点（我这样称呼）真是太猛了，不知道能不能延升到其他壳，我感觉上似乎能行的，希望sessiondiy 能解答一下，是否所以的壳都会在内存中或以明码，或以加密方式出现完整的IAT一次。 2009-9-7 19:29 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 17 楼现在的壳已无: "出现完整的IAT一次" 建议你研究一些商业壳 (不需自行从头追码, 但是你可配合网上大量的脱壳文章) 即知为何没有了. 2009-9-7 20:03 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 18 楼谢谢sessiondiy大大的指点，我去找资料了，还得学习的东西还多 2009-9-7 20:42 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 19 楼做了点小更新，对最佳脱壳点还是没有好方法 2009-9-10 13:23 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 20 楼谢谢楼上的建议，已经采用的你的方法来做了，不过最佳脱壳点的问题还是没找到好的方法解决 2009-9-18 19:51 0
natyou 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	natyou 21 楼楼主编写外壳的水平我何时才能达到呢？脱了一份，学习一下上传的附件： Unpack_NOTEPAD.rar （35.66kb，5次下载） 2009-9-20 14:03 0
rerefrancd 雪币： 314 活跃值： (271) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 153 粉丝 5 关注私信	rerefrancd 1 22 楼专业不重要，我还是专门学这方面的都没学好，用心就行 2009-9-20 14:06 0
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 23 楼有完整的分析了，http://user.qzone.qq.com/121786282/blog/1253519590 2009-9-21 22:21 0
微软雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	微软 24 楼不错的软件，值得收藏~~~ 2009-9-22 14:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复