yingfeng 发表于 2007-8-21 19:57:00

发一个超简单的壳

一般我们都用MaskPE做免杀,配合其它方式,(感觉不错)

今天试了两个用MaskPE2.0把输入表加密后,试了下脱壳,超简单


哈哈,混些文章,!

用MaskPE.exe加了记事本

呵,OD载入:ALT+M 打开内存镜像在PE HEADER 下一行下内存访问断点, SHIFT+F9运行,

直接到OEP,晕,然后用OD自带的插件脱壳,运行OK,(我加了VB,VC,Delphi)都是一样的,

不知道就这样还能做为免杀用!(还不清楚原理)晕

太简单了,本来不想发的,呵呵,不过已经写了,就………………

大家飘过
附件

hmily 发表于 2007-8-23 12:09:46

这个方法不错,试了下可以,学习!

gujin162 发表于 2007-8-23 14:46:54


虽然简单
但是作者出于学习的目的,精神是可嘉的

8319095 发表于 2007-8-26 04:58:39

继续学习....感觉这样确实是很简单的样子

775825866 发表于 2007-9-26 20:06:54

偶也来支持下,谢谢提供

zzy020128 发表于 2007-9-27 09:28:21

好好学习啊,/:good

aab 发表于 2007-9-27 20:13:45

这个方法还是不错的

wangwei.hebtu 发表于 2007-9-28 08:22:28

0100739A    CC            int3
0100739B    CC            int3
0100739C    CC            int3
0100739D    6A 70         push 70      这里是oep,没啥问题吧?
0100739F    68 98180001   push MaskPE.01001898
010073A4    E8 BF010000   call MaskPE.01007568
010073A9    33DB            xor ebx,ebx
010073AB    53            push ebx
010073AC    8B3D CC100001   mov edi,dword ptr ds:[<&KERNEL32.>; kernel32.GetModuleHandleA


0100739D    6A 70         push 70      
这里是oep,没啥问题吧?可是不知道为啥我用esp脱了修复不好呢?奇怪了,IAT总是修复不好

[ 本帖最后由 wangwei.hebtu 于 2007-9-28 08:28 编辑 ]

凡夫俗子 发表于 2007-9-30 10:18:53

:loveliness: 俺是来向你们学习的。

sml5100 发表于 2007-9-30 22:58:05

我也学了一招,确实不错,谢谢楼主提供!!!/:014
页: [1] 2
查看完整版本: 发一个超简单的壳