再次关于Molebox加密文件进行解密的问题。
前几天在看雪和飘云两个论坛发了求助贴。是有关于Molebox2.3和Molebox2.6的脱壳。不过给我的都是破文,我按照上面的方法脱掉用Molebox2.3和2.6的壳,刚开始的话很乏味,乏味他找到OEP后完全脱壳掉还得手动修复,
于是在找找有关的资料,有一个文章写的很详细,上面交你修复Molebox2.3的壳加修复IAT
于是又做了个实验,试着照葫芦画瓢,于是修复成功了。可是后来我要脱壳破解的那个软件又会了一种新的玩法,它现在不把打包的程序格式弄为.exe的
弄成别的了也是用molebox加密的他给弄成Pla 可是我在百度和Google上找他是个AutoCad的文件,可是我的机器上有Cad怎么的也打不开
于是我就研究了下Molebox 后来才知道 它其实能让打包的文件后缀名为自己定义的名字。
这下可坏了我在次用OD和其他的反编译软件来试着打开它可上面就出现他不是有效的win32程序。
于是我想可能是他把exe改成pla了我把他改回来,在od上写的还不是有效的win32程序。
请问大虾这个是怎么回事情
以下是游戏人物文件(也就是用Molebox打包的程序)他修改的文件的后缀,其实他是个人物的文件夹。
http://www.mugenchina.org/host/mary.pla
由于游戏程序太大,有的人没有耐心下载,在次把主程序文件也就是游戏的启动程序放到了上面。
Cracking.ys168.com (里面有个要脱的文件里面的kofz.exe就是.
还有,大牛们如果要是没有耐心脱壳的话小生也有 有关于Molebox的脱壳脚本,OD的
//molebox 2.x ,by Cracking
#log
msg "忽略所有异常"
sto
sto
var cool
mov cool,esp
bphws cool,"r" //esp定律,用来找OEP
var VirtualProtect
gpa "VirtualProtect","kernel32.dll"
cmp $RESULT,0
je err
find $RESULT,#C21000#
cmp $RESULT,0
je err
mov VirtualProtect,$RESULT
bp VirtualProtect//下VP的断点为了找IAT加密的地方
eob check
eoe check //发生中断则执行check
esto
ret
check:
log VirtualProtect
cmp eip,VirtualProtect//检查是否是断在VP
je VirtualProtect
esto
ret
VirtualProtect:
rtu
var a
mov a,eip
mov a,
cmp a,A75C085 //看用户代码处是否test eax,eax;jnz
je iat //如果是则到了关键地点
esto
ret
cool: //所有要做的都做完了,很快到OEP了
cob
coe
run
bphwc cool
zou: //自动走路的代码
mov a,eip
mov a,
shl a,8
shl a,8
shl a,8
cmp a,58000000//直到指令不是pop eax为止
jne cool2
sto
jmp zou
cool2:
sti //进入call eax就到OEP了
jmp oep
ret
iat: //对IAT加密的代码进行PATCH
find eip,#8901#
cmp $RESULT,0
je err
mov [$RESULT],#9090#
msg "绕开输入表加密!"
bc VirtualProtect
jmp cool
ret
oep:
cmt eip,"OEP or next shell!!!dump and fix IAT"
an eip
ret
err:
msg "error"
ret
以下是我以前脱Molebox壳的思路,不过是错误的,这个是在我以前不知道脚本前写的求助帖。到了现在我还不知道没有跺开加密指针是什么意思。
希望能有人能帮下,谢谢了
按照http://bbs.pediy.com/showthread.php?t=73286
二楼的回复,我也尝试了下脱MB的壳。
前面启动Esp定律和他的相同。
启用Esp定律。
dd 12ffa4
下硬件访问-Dword断点。
F9运行
硬件中断。
直到找到OEP和他的不一样。
我的那个软件的Oep是00494A80
也是按照他的方法做的启动loadpe全脱为dump.exe
之后到import修复,他的那里是9个指针错误,我的这里只有一个。
http://p11.freep.cn/p.aspx?u=v20_p11_p_0809252059052554_0.jpg
不知道那个无效的算不算一个。
还有那个指针修复不了,用1~3的都修复不了。
于是我直接给删除那个指针了,因为以前看到别人的教程也是这么做的。
等删除后我在修复dump的时候,显示成功。可是我运行那个程序的时候就显示的:
http://p11.freep.cn/p.aspx?u=v20_p11_p_0809252102181696_0.jpg
可是我已经脱下来了为C++的软件,用peid查也是。
是不是我修复的时候出错了。
文件为
http://cracking.ys168.com/?jdfwkey=btp3l2
在我的网盘里呢/
要是有哪个大哥帮我脱下来就好了 而且能运行。
那个文件要是脱完运行的话应该是显示为。
http://p13.freep.cn/p.aspx?u=v20_p13_p_0809252108033781_0.jpg
[ 本帖最后由 Cracking 于 2008-10-16 22:08 编辑 ] kofz ? 那个同人游戏? 司马里那个吧
那个是M打的包?只听说加密上做了点手脚 没分析过 M的壳修复比较麻烦 那帮人游戏开发到这水平 宣传上都说了不会让大家轻易修改的 所以估计脱壳了也只是刚刚开始 复杂的还再后面/:L 你需要把文件分离出来~~~~~~~~~~~~~~~~~~~ 原帖由 Nisy 于 2008-10-9 22:53 发表 https://www.chinapyg.com/images/common/back.gif
kofz ? 那个同人游戏? 司马里那个吧
那个是M打的包?只听说加密上做了点手脚 没分析过 M的壳修复比较麻烦 那帮人游戏开发到这水平 宣传上都说了不会让大家轻易修改的 所以估计脱壳了也只是刚刚开始 复杂的还再 ...
哎呀kofz小组的所有方法我基本有点熟悉了!
他们就是利用Molebox打的包,完了主程序kofz.exe绑定了mugen游戏引擎的那两个插件。
之后他把data文件夹和stages画面包的文件夹还有sount文件夹和字体文件夹都绑定了目录下面的data.dat文件夹当中,
而人物为pla文件。其实那pla文件也是个文件夹打包的 他是把人物的chars文件夹里面的 所有游戏的人物打包到pla文件里。
基本就是这个样子。
脱壳是过来了,是能脱了,可就是那可恨的molebox可以自定义打包文件的后缀。
要是不用od查看的话还能有什么工具能呢
本来od也看不了因为他不是有效的win32程序!
我是因为自己做实验 也做了个和kofz一样的游戏整合。就是利用了molebox打包得来的。 原帖由 冷血书生 于 2008-10-9 23:24 发表 https://www.chinapyg.com/images/common/back.gif
你需要把文件分离出来~~~~~~~~~~~~~~~~~~~
谢谢你的回复冷大,我遇到的问题不是分离,而是怎么面对一个不是应用程序的脱壳,
这个要是.exe的文件我应该是可以分离文件,
可这个到不是,哎呀可恨的molebox啊! 文件分离出来后,脱壳后的程序就可以正常运行了,怎么与分离无关呢? 原帖由 冷血书生 于 2008-10-10 18:59 发表 https://www.chinapyg.com/images/common/back.gif
文件分离出来后,脱壳后的程序就可以正常运行了,怎么与分离无关呢?
哦 那是先脱壳还是先分离,一般都是先脱壳,分离呢!
哎呀 假假真真真真假假!
那个壳你应该是接触过的,可是他打包的不是为exe文件
而是自定义的后缀,那个要怎么去面对,要是exe文件的话那直接脱或直接分离即可! 这个有些复杂了!
页:
[1]