华佗 发表于 2007-12-2 18:32:58

学习下
不错

wanghuo 发表于 2007-12-2 19:28:15

这么强悍啊。下面这个是什么壳,能写出步骤吗?

canaris321 发表于 2007-12-4 00:33:30

PECompact 2.x -> Jeremy Collake

00401000 >B8 88834D00          mov eax,XPEHELP.004D8388          ; EP
00401005    50                   push eax
00401006    64:FF35 00000000   push dword ptr fs:             ; F8 单步到这里,ESP定律
0040100D    64:8925 00000000   mov dword ptr fs:,esp
00401014    33C0               xor eax,eax
00401016    8908               mov dword ptr ds:,ecx

004D844A- FFE0               jmp eax                           ; SHIF+F9 四次到这里~!跳向OEP
004D844C    C0CD 46            ror ch,46
004D844F    0070 84            add byte ptr ds:,dh
004D8452    4D                   dec ebp
004D8453    0080 844D0068      add byte ptr ds:,al

wanghuo 发表于 2007-12-4 07:11:11

PECompact 2.x -> Jeremy Collake

00401000 >B8 88834D00          mov eax,XPEHELP.004D8388          ; EP
00401005    50                   push eax
00401006    64:FF35 00000000   push dword ptr fs:             ; F8 单步到这里,ESP定律
0040100D    64:8925 00000000   mov dword ptr fs:,esp
00401014    33C0               xor eax,eax
00401016    8908               mov dword ptr ds:,ecx

004D844A- FFE0               jmp eax                           ; SHIF+F9 四次到这里~!跳向OEP
004D844C    C0CD 46            ror ch,46
004D844F    0070 84            add byte ptr ds:,dh
004D8452    4D                   dec ebp
004D8453    0080 844D0068      add byte ptr ds:,al
谢谢!学习了。

wanghuo 发表于 2007-12-4 07:19:48

SHIF+F9 四次?
能否再具体些?谢谢!

wanghuo 发表于 2007-12-5 06:48:18

ESP 定律脱16种壳大全
来源于:INTERNET

关于 ESP 脱壳找 EOP

ESP 定律:就是加载程序后 F8单步运行 第一个变化的 ESP 值,右击寄存器上 ESP 在转存中跟随,在内存地址上 选中前四个,右击,断点,硬件访问,word F9,中断,....返回。

(D 12ffc0 选四个下硬件写入 dword) 我的其它小记


1. Aspcak 方法:
ESP+6175(Sb) POPAD JMP

2. UPX 方法:
S 0000 The First JMP
变种
ESP+S (60E9)
0040EA0E 60 PUSHAD
0040EA0F - E9 B826FFFF JMP chap702.004010CC


3. PECompact 1.68 - 1.84
ESP
Or 注意 第一个 PUSH XXXX XXXX+基址(400000)=EOP

4. EZIP 1.0 方法:
ESP

5. JDPack 1.x / JDProtect 0.9
ESP+S(6150)

0040E3F8 894424 1C MOV DWORD PTR SS:,EAX
0040E3FC 61 POPAD
0040E3FD 50 PUSH EAX
0040E3FE C3 RETN
0040E3FF 23E8 AND EBP,EAX

6. PE Pack 1.0
ESP+S (61ff)
0040D26F 61 POPAD
0040D270 FFE0 JMP EAX

7. WWPack32 1.x
ESP

8. PEDiminisher 0.1
ESP+S(FFE0) or S(JMP EAX)
0041708D 5D POP EBP
0041708E 5F POP EDI
0041708F 5E POP ESI
00417090 5A POP EDX
00417091 59 POP ECX
00417092 5B POP EBX
00417093 - FFE0 JMP EAX

9. DxPACK V0.86
ESP+S(JMP EAX or 61ffe0)
0040D163 61 POPAD
0040D164 - FFE0 JMP EAX

10. PKLITE32 1.1
F8 5 次来到 EOP

11. 32Lite 0.03a
ESP 往下找到
PUSH EAX
50c3 or PUSH EAX
003780F4 50 PUSH EAX
003780F5 C3 RETN
来到
0041C53C FF96 84B50100 CALL DWORD PTR DS:
0041C542 61 POPAD
0041C543 - E9 0848FFFF JMP QEDITOR.00410D50
注意:先用 LoadPE 转存 Olldbg 加载的那个加壳文件,退出,运行加壳后的文件,RecImport 修正 EOP 修复抓取文件到 DUMP 的那个文件。


12. VGCrypt PE Encryptor V0.75
ESP 安 F9(断点开始),地址-1=EOP


13. PC Shrinker 0.71
ESP
00142BA8 BA CC104000 MOV EDX,4010CC
00142BAD FFE2 JMP EDX

14. Petite2.2
1. D 12ffa0
3 下 F9
来到 EOP=地址-1
2. ESP 两下 同上

15. EXE Stealth2.72
ESP+S()

0040D49F 8B9D B62F4000 MOV EBX,DWORD PTR SS:
0040D4A5 039D BA2F4000 ADD EBX,DWORD PTR SS:
将堆栈中值10cc+400000=4010cc 得出记事本的Oep. 加壳软件的oep.
0040D4AB C1CB 07 ROR EBX,7

qbug 发表于 2007-12-6 20:14:13

把北斗加在里面?你外面再加什么都没什么用了。直接脱了北斗就搞定了。
你试试先加VM再加北斗,再脱脱看。/:001

kalahan 发表于 2007-12-12 00:03:06

有时间一定要好好看看

wdwjg 发表于 2007-12-20 16:13:42

学习下 \
不错

cc7x 发表于 2008-1-3 22:33:16

过路学习下,强/:010 /:010
页: 1 [2] 3
查看完整版本: VM过的加壳记事本