初破ExeCryptor 2.XX 笔记
天天ASP,UPX做了N多了,今天换手,来试试ExeCryptor,呵呵.首先看了很多大大的破文.收获颇多。但还有很多没搞清楚的。还请各位大大指点:loveliness:
首先按老规矩,OD载入,停系统断点。
运行ByPass AntiDBG OEP 1.1 成功完成,如下图
伪OPE00731BBA
接下来,解密IAT
1.Ctrl+G:401000,新建EIP
2.确定加密IAT表地址:LordPE查看区段表
虚拟偏移:229000+400000=629000
在数据框内确定IAT表开始和结束位置。
00629AA000000000 IAT 开始
00629AA4770F4880oleaut32.SysFreeString
00629AA8771244ADoleaut32.SysReAllocStringLen
00629AAC770F4BA7oleaut32.SysAllocStringLen
00629AB000000000
00629AB400630C8EMain.00630C8E
00629AB80063A6D2Main.0063A6D2
00629ABC007354F8Main.007354F8
00629AC000000000
00629AC40064586BMain.0064586B
00629AC80062F651Main.0062F651
00629ACC0073663AASCII "QhN3r"
。。。。。。。。。。。。。。。。。。
。。。。。。。。。。。。。。。。。。
0062A35071A24519WS2_32.ioctlsocket
0062A35471A22BF4WS2_32.inet_addr
0062A35871A22B66WS2_32.ntohs
0062A35C71A2406AWS2_32.connect
0062A36071A29639WS2_32.closesocket
0062A36400000000
0062A368770FAB11oleaut32.SafeArrayCreate
0062A36C770FABCColeaut32.SafeArrayPtrOfIndex
0062A370770FACF5oleaut32.SafeArrayPutElement
0062A374770FAC4Foleaut32.SafeArrayGetElement
0062A37800000000 IAT 结束
3.运行IAT Rebuilder PE-Kill脚本,
IAT解密完成。
4.用PETools转存为:dumped.exe
用importREC,OEP=0331BBARVA=00229AA4
保存为dumped_.exe
修复转存结束。
5.还原TLS:(这里还是不清楚哦)
先确定原来TLS表地址:0022E000,
修改TLS表如图
(感觉这里好像不对。)
6.修复OEP
OD载入dumped_.exe
出错
请问大大,我是在那里出了错???
[ 本帖最后由 brantjun 于 2007-9-13 08:49 编辑 ] OEP=0331BBS//????
RVA=29aa4 //????
FOEP=00331BBA
RVA=00229AA4 还没有脱过ExeCryptor 2.X这壳.呵呵
回复 2# 的帖子
machenglin大大,不好意思,是笔误:OEP=00331BBA
RVA=00229AA4
不过再往下,就感觉不对劲了,可又不知道是那里出了错?
还请大大指点!
[ 本帖最后由 brantjun 于 2007-9-13 08:48 编辑 ] 1、给出连接地址。
2、换另一OD测试。
3、清除所有断点、UDD。 已经清除所有断点,UDD。
根据大大的经典破文:http://www.0wei.com/viewthread.php?tid=7306&highlight=execryptor
用里面的 神机妙算钢筋 v8.7练手,脚本都无法根下去。
后换一个手头上有的EXE加密壳,脚本可以过,呵呵,还不清楚是那里问题
加密文件:http://www.lucoralmfr.com/123/main.rar
大大能否PM我你的QQ?呵呵 要装的东西太多了,放弃。 没脱过这样的壳。。
这个月在实习 没带自己的本子出来
等国庆 脱了看看 晕,看来会这种壳的确比较难脱。 脱壳后可以运行,需要gds32.dll文件。
貌似OEP被VM了。
[ 本帖最后由 machenglin 于 2007-9-14 11:52 编辑 ]
页:
[1]
2