飘云阁MoleBox v2.0 [Overlay] 脱壳 - Powered by Discuz! Archiver

baby520 发表于 2007-11-5 00:37:57

MoleBox v2.0 [Overlay] 脱壳

PEID查壳MoleBox v2.0 *

呵呵~程序是 Squn大大的今天有她的程序写了个脱文希望不要介意哦。。:handshake

好我们OD载入

004EEB33 >E8 00000000 call 诛仙小肚.004EEB38    停在这里 F7
004EEB38 60          pushad                   到这里 F8
004EEB39 E8 4F000000 call 诛仙小肚.004EEB8D    ESP 定律下好段方便我们以后寻找OEP 下段

bp VirtualProtect中断三次返回，删除断点

7C801AD0 >8BFF          mov edi,edi    段在这里
7C801AD2 55          push ebp
7C801AD3 8BEC          mov ebp,esp
7C801AD5 FF75 14       push dword ptr ss:
7C801AD8 FF75 10       push dword ptr ss:
7C801ADB FF75 0C       push dword ptr ss:
7C801ADE FF75 08       push dword ptr ss:
7C801AE1 6A FF       push -1

004F650C 85C0          test eax,eax                   返回到这里
004F650E 75 0A       jnz short 诛仙小肚.004F651A
004F6510 B9 0B0000EF mov ecx,EF00000B
004F6515 E8 182F0000 call 诛仙小肚.004F9432
004F651A 8B4D 08       mov ecx,dword ptr ss:
004F651D 8B55 F8       mov edx,dword ptr ss:
004F6520 8B02          mov eax,dword ptr ds:
004F6522 8901          mov dword ptr ds:,eax       这个NOP
004F6524 8D4D F4       lea ecx,dword ptr ss:

004F650C 85C0          test eax,eax             修改后的
004F650E 75 0A       jnz short 诛仙小肚.004F651A
004F6510 B9 0B0000EF mov ecx,EF00000B
004F6515 E8 182F0000 call 诛仙小肚.004F9432
004F651A 8B4D 08       mov ecx,dword ptr ss:
004F651D 8B55 F8       mov edx,dword ptr ss:
004F6520 8B02          mov eax,dword ptr ds:
004F6522 90          nop
004F6523 90          nop
004F6524 8D4D F4       lea ecx,dword ptr ss:

删除刚下的 bp VirtualProtect这个断点删除后 F9运行就是运行到刚我们下的 ESP 下的那个断点

004EE711 58          pop eax             ESP断在这里删除硬件断点                      ; 诛仙小肚.004EEB38
004EE712 58          pop eax
004EE713 FFD0          call eax                   F7进
004EE715 E8 92CA0000 call 诛仙小肚.004FB1AC
004EE71A CC          int3
004EE71B CC          int3
004EE71C CC          int3
004EE71D CC          int3

004E9C30 60          pushad                F7进来听这里
004E9C31 BE 00904900 mov esi,诛仙小肚.00499000    这里我们ESP 定律 F9运行
004E9C36 8DBE 0080F6FF lea edi,dword ptr ds:
004E9C3C C787 9CC00B00 A>mov dword ptr ds:,C8CF5FAD
004E9C46 57          push edi
004E9C47 83CD FF       or ebp,FFFFFFFF
004E9C4A EB 0E       jmp short 诛仙小肚.004E9C5A
004E9C4C 90          nop
004E9C4D 90          nop
004E9C4E 90          nop
004E9C4F 90          nop
004E9C50 8A06          mov al,byte ptr ds:

004E9DD6 8D4424 80    lea eax,dword ptr ss: 到了这里删除所有的断点
004E9DDA 6A 00       push 0
004E9DDC 39C4          cmp esp,eax
004E9DDE^ 75 FA       jnz short 诛仙小肚.004E9DDA
004E9DE0 83EC 80       sub esp,-80                F4
004E9DE3^ E9 F027FDFF jmp 诛仙小肚.004BC5D8
004E9DE8 009E 4E00109E add byte ptr ds:,bl

004BC5D8 55          push ebp                OEP
004BC5D9 8BEC          mov ebp,esp
004BC5DB 83C4 F0       add esp,-10
004BC5DE B8 08C24B00 mov eax,诛仙小肚.004BC208
004BC5E3 E8 709DF4FF call 诛仙小肚.00406358
004BC5E8 A1 2CF94B00 mov eax,dword ptr ds:
004BC5ED 8B00          mov eax,dword ptr ds:
004BC5EF E8 041CFCFF call 诛仙小肚.0047E1F8
004BC5F4 8B0D 4CFB4B00 mov ecx,dword ptr ds:             ; 诛仙小肚.004C0FAC
004BC5FA A1 2CF94B00 mov eax,dword ptr ds:
004BC5FF 8B00          mov eax,dword ptr ds:
004BC601 8B15 803D4B00 mov edx,dword ptr ds:             ; 诛仙小肚.004B3DCC
004BC607 E8 041CFCFF call 诛仙小肚.0047E210
004BC60C 8B0D ECFA4B00 mov ecx,dword ptr ds:             ; 诛仙小肚.004C100C
004BC612 A1 2CF94B00 mov eax,dword ptr ds:

修复全部有效正常运行

[ 本帖最后由 baby520 于 2007-11-5 00:46 编辑 ]

何求发表于 2007-11-5 08:21:21

好,学习了.强.

Rusher_Z 发表于 2007-11-5 09:29:37

努力学习，领会精神！
但是还是多多少少有点不懂，我基础太烂了

cslcslcsl 发表于 2007-12-20 17:48:53

不错，我也试一试。

crystalxp 发表于 2008-1-30 10:59:49

不是很懂。。我在试脱密码学综合工具2.0.不过按上面的方法没用

dying 发表于 2008-2-10 17:16:22

/:L 看不懂~~~

zsl01 发表于 2008-9-24 17:31:28

努力学习,争取也做一个强者.

xqh800 发表于 2009-4-29 14:40:09

haha再来顶一个/:good

jelly_lover 发表于 2009-4-30 08:33:10

学习了，谢谢楼主！还有能不能也把MoleBox**的不是PE格式的文件取出来的方法也说下啊。网上很少说这些都是一步带过，让我郁闷死了./:010

zhouray 发表于 2009-5-2 06:38:07

同样盼望中,我等到花儿也谢了

页: [1] 2

飘云阁's Archiver

MoleBox v2.0 [Overlay] 脱壳