网站 › ≮ 脱壳求助 ≯ › 被猛壳遮住视线，望高手指点迷津

beijingren 发表于 2009-7-3 20:43:43

被猛壳遮住视线，望高手指点迷津

首先声明，这个软件我买了正版的，今天机器上加了块硬盘，结果无法运行了，郁闷！
晚上联系客服，客服通知我该软件为机器码验证，任何硬件的变动都会是序列号失效，我倒~~
要等到下周一正常上班了才能作废掉原来的，重新激活一次
咬牙切齿地把新硬盘卸下来了
因为这两天要用它做点事情。
于是突然想搞搞这个软件看看，PEID看了下，
显示为yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
核心扫描--
PESniffer可以探测到Xtreme-Protector v1.05
赶快翻出以前收集的教程
好好把Xtreme-Protector v1.05脱壳的几个教程研究了一下
依葫芦画瓢脱了个东西出来，查壳显示Microsoft Visual C++ 6.0
但是运行出错
嗯，iat没弄，于是importREC拿出来修复
找到很多无效指针，来回寻了很多次，所有可以RVA都试了一遍，仍然没有成功
剪切掉无效指针后修复，程序运行出错，劳烦路过的大虾们帮忙看看，指点小弟一二，感激不尽！
应lgjxj大虾要求，原附件删除，主程序打包后传往纳米盘下载

------------------------------------
既然惊动了版主大人，很希望能分享到版主的分析的过程
主程序单独打包出来作为附件
事先申明：nod32会报毒，可能与加壳有关，主程序是没有毒的。

[ 本帖最后由 beijingren 于 2009-7-14 19:45 编辑 ]

beijingren 发表于 2009-7-3 21:02:05

自己感觉好像是输入表的问题，但是不知如何下手，程序里面找不到函数调用的地址，我是用c32查的

lgjxj 发表于 2009-7-3 21:47:55

这个壳没脱过，你发的不完整，发个安装的地址，
第一次见这个东西，壳里异常比较多，貌似不太难

lgjxj 发表于 2009-7-3 21:50:35

晕，随便找了个连接 ，115 M ，我倒

zhengyi018 发表于 2009-7-4 16:55:17

学习经验   呵呵！！不懂

beijingren 发表于 2009-7-4 23:22:51

是啊，程序很大（我的文件夹里面800多M），而且只有老版本的，需要从2008版本更新到2009版本使用，或者买光碟，官方没有下载~
我把软件需要的几个关键文件打包了，传到网络硬盘，4.79M
下载链接：http://d.namipan.com/d/0069fb0c5f19cccc6952f3e7c8112fb8a9cffa8821a74c00
这个软件杀毒软件会报毒，但是我可以人格担保没有病毒，刚刚从官方网站上升级来的
关于病毒的问题官方网站论坛上给出了解释
链接如下：
http://www.kingyee.com.cn/luntan/neitan.jsp?bbsType=2&ID=168637&page=1
如果对里面的主程序不放心，劳烦大虾自己下载对比和覆盖：
http://www.medscape.com.cn/meddic2/update/meddic.exe
这个地址是根据update.ini文件内容拼接出来的，亲自试过可以下载
希望各位大虾小虾走过路过的朋友出门在外碰见的街坊邻居们帮忙看下这个壳，谢谢了！

beijingren 发表于 2009-7-6 23:04:54

通过客服，今天再次激活~~~咔咔~~~又有的用了:loveliness:

好像大家都对这壳没什么兴趣呀

[ 本帖最后由 beijingren 于 2009-7-6 23:10 编辑 ]

beijingren 发表于 2009-7-8 18:27:29

这个版块大虾们都懒得飘过吗？/:011 /:011

glts 发表于 2009-7-13 03:57:40

原帖由 beijingren 于 2009-7-8 18:27 发表 https://www.chinapyg.com/images/common/back.gif
这个版块大虾们都懒得飘过吗？/:011 /:011


非也~~为了获得更好的帮助~~也请注意求助的方式方法

beijingren 发表于 2009-7-13 08:37:03

原帖由 glts 于 13-7-2009 03:57 发表 https://www.chinapyg.com/images/common/back.gif



非也~~为了获得更好的帮助~~也请注意求助的方式方法

版主大人意思是贴出脱壳分析过程？
老实说，我并不能确定这个壳是不是Xtreme-Protector v1.05的
我用PYG专版的peid自带的userdb查不出来，exeinfo、fi也都没有提示
用网上的一个所谓很新的peid库查出来是Xtreme
OD载入后停在这里
00401008 > $8BC3          MOV EAX,EBX
0040100A   .F9            STC
0040100B   .E8 44000000   CALL meddic.00401054
00401010   .7F 11         JG SHORT meddic.00401023
00401012   .2C 68         SUB AL,68
00401014   .45            INC EBP
00401015   .A5            MOVS DWORD PTR ES:,DWORD PTR DS:[ES>
00401016   .B5 D2         MOV CH,0D2
00401018   .58            POP EAX
00401019   .88E1          MOV CL,AH
0040101B   .48            DEC EAX
0040101C   .6D            INS DWORD PTR ES:,DX                ;I/O 命令
0040101D   .286E FD       SUB BYTE PTR DS:,CH
Ctrl+G，输入ZwFreeVirtualMemory
来到
7C92D38E >B8 53000000   MOV EAX,53
7C92D393    BA 0003FE7F   MOV EDX,7FFE0300
7C92D398    FF12            CALL DWORD PTR DS:
7C92D39A    C2 1000         RETN 10                                  ; 在这里下F2断点
F9两次，EDI值都没有发生变化（原因不知道，教程里这么讲的/:L ）
取消F2断点，打开内存镜像，在code段下F2断点，shift+F9
据说就到了OEP
00404E67   .83C4 04       ADD ESP,4                                                             //停在这里，不像OEP呀？
00404E6A   ?85C0          TEST EAX,EAX
00404E6C   ?75 01         JNZ SHORT meddic.00404E6F
00404E6E   ?C3            RETN
00404E6F   .E8 BCFCFFFF   CALL meddic.00404B30
00404E74   ?68 04010000   PUSH 104
00404E79   .68 68C74500   PUSH meddic.0045C768
00404E7E   ?6A 00         PUSH 0
00404E80   ?C705 2CDE4500>MOV DWORD PTR DS:,meddic.0045C76>
这样dump出来的东西没敢拿出来浪费大家时间，自己觉得肯定是不对的，不知道从哪里下手
不知道玩壳的大牛们碰到未知壳的时候是怎么下手的呢？

查看完整版本: 被猛壳遮住视线，望高手指点迷津