下下雪 发表于 2006-12-9 19:33:31

转贴一个MoleBox的脚本

//For MoleBox 2.x,By wynney
#log
Var Addr1
Var Addr2
Var Addr3
Var VirtualProtect
log eip
cmt eip, "请忽略所有异常"
STI
STO
MOV Addr1,esp
bphws Addr1,"r"                //esp定律,用来找OEP
GPA "VirtualProtect","kernel32.dll"
CMP $RESULT,0
JE ERR
MOV VirtualProtect,$RESULT
BP VirtualProtect             //下断点,找IAT加密的地方
RUN
RUN
RUN
BC VirtualProtect
RTU
find eip,#8901#
CMP $RESULT,0
JE ERR
MOV Addr2,$RESULT
BP Addr2
RUN
BC Addr2
fill eip,2,90
RUN
RUN
RUN
RUN
BPHWC Addr1
STO
find eip,#83EC80E9????????#
CMP $RESULT,0
JE ERR
MOV Addr3,$RESULT
BP Addr3
RUN
BC Addr3
STO
STO
log eip
cmt eip, "This is the OEP!Found By: wynney "
RET

ERR:
MSG "error"
RET




测试文件
http://www.hrtsea.com/beta/FlashFXP_3.4.1.1149b.rar

zsl01 发表于 2008-9-27 17:29:07

支持脚本,多谢了.

liuyilin 发表于 2008-9-28 15:59:44

支持脚本,多谢了.

178756303 发表于 2008-10-16 00:13:54

我找了好久了
我晕

wqhlgr 发表于 2009-1-26 07:22:14

脚本收藏起来

sqcsl 发表于 2009-2-12 15:37:54

不是很好用

consult1026913 发表于 2009-9-24 10:26:17

他这个脚本是脱有两层壳的情况的,第二层好像是UPX的

tianfire 发表于 2009-9-26 11:11:51

新手看不懂。/:011

xtaymimk 发表于 2010-1-14 08:09:52

收藏了,好东东啊

kelvar 发表于 2010-1-30 00:38:50

这个只是到达OEP的脚本,关键是后面的修复部分没有。前面只是到达OEP的话,ESP定律就足够了
页: [1] 2
查看完整版本: 转贴一个MoleBox的脚本