野猫III 发表于 2006-6-3 00:03:06

EXEStealth 三个版本壳的同样脱法

菜鸟脱菜壳,呵呵。。。

EXE Stealth2.72

EXEStealth 2.5

EXEStealth 2.5x - 2.7x

学习源于以下篇脱文:

http://www.chinadforce.com/viewthread.php?tid=479673

引用来给大家通考参考吧。。。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++quote
一软件,名字忽略拉 :D :D :D :D

保护方式:EXEStealth 2.5 2.6 - WebToolMaster

除了忽略在KERNEL32 中的内存访问异常打勾,其余一个勾都不打,插件隐藏OD。

用OD载入程序后。
确定一个入口点警告,Od提示程序加壳,选不继续分析。

0043A060 H> 60 pushad
0043A061 EB 22 jmp short HookSrv.0043A085

F9,中断异常

0043A71F CD 68 int 68
0043A721 33DB xor ebx,ebx
0043A723 64:8F03 pop dword ptr fs:
0043A726 83C4 04 add esp,4
0043A729 66:81FF 9712 cmp di,1297
0043A72E 74 0E je short HookSrv.0043A73E
0043A730 66:81FF 7712 cmp di,1277
0043A735 74 07 je short HookSrv.0043A73E

最后一次异常

0043A7AB 0000 add byte ptr ds:,al
0043A7AD 0000 add byte ptr ds:,al
0043A7AF 0000 add byte ptr ds:,al
0043A7B1 0000 add byte ptr ds:,al
0043A7B3 0000 add byte ptr ds:,al
0043A7B5 0000 add byte ptr ds:,al
0043A7B7 0000 add byte ptr ds:,al
0043A7B9 0000 add byte ptr ds:,al
0043A7BB 0000 add byte ptr ds:,al
0043A7BD 0000 add byte ptr ds:,al
0043A7BF 0000 add byte ptr ds:,al
0043A7C1 0000 add byte ptr ds:,al
0043A7C3 0000 add byte ptr ds:,al
0043A7C5 0000 add byte ptr ds:,al
0043A7C7 0000 add byte ptr ds:,al

堆栈内容

0012FFBC 0012FFE0 指针到下一个 SEH 记录
0012FFC0 0043A74E SE 句柄

ctrl+g,去异常出口 0043A74E

0043A74E 55 push ebp ;F2下断,F9运行,继续
0043A74F 8BEC mov ebp,esp
0043A751 57 push edi
0043A752 8B45 10 mov eax,dword ptr ss:
0043A755 8BB8 C4000000 mov edi,dword ptr ds:
0043A75B FF37 push dword ptr ds:
0043A75D 33FF xor edi,edi
0043A75F 64:8F07 pop dword ptr fs:
0043A762 8380 C4000000 08 add dword ptr ds:,8
0043A769 8BB8 A4000000 mov edi,dword ptr ds:
0043A76F C1C7 07 rol edi,7
0043A772 89B8 B8000000 mov dword ptr ds:,edi
0043A778 B8 00000000 mov eax,0
0043A77D 5F pop edi ;HookSrv.004B340(*****飞向光明之颠********)
0043A77E C9 leave
0043A77F C3 retn

ctrl+G--004B340

0040B340 55 push ebp ////入口点,DUMP
0040B341 8BEC mov ebp,esp
0040B343 6A FF push -1
0040B345 68 D0F14100 push HookSrv.0041F1D0
0040B34A 68 90B24000 push HookSrv.0040B290 ; jmp to MSVCRTD._except_handler3
0040B34F 64:A1 00000000 mov eax,dword ptr fs:
0040B355 50 push eax
0040B356 64:8925 00000000 mov dword ptr fs:,esp
0040B35D 83C4 94 add esp,-6C
0040B360 53 push ebx
0040B361 56 push esi
0040B362 57 push edi
0040B363 8965 E8 mov dword ptr ss:,esp
0040B366 C745 FC 00000000 mov dword ptr ss:,0
0040B36D 6A 02 push 2
0040B36F FF15 0C3A4300 call dword ptr ds: ; MSVCRTD.__set_app_type
0040B375 83C4 04 add esp,4
0040B378 C705 702C4300 FFFFF>mov dword ptr ds:,-1
0040B382 A1 702C4300 mov eax,dword ptr ds:
0040B387 A3 802C4300 mov dword ptr ds:,eax
0040B38C FF15 083A4300 call dword ptr ds: ; MSVCRTD.__p__fmode
0040B392 8B0D 5C2C4300 mov ecx,dword ptr ds:
0040B398 8908 mov dword ptr ds:,ecx
0040B39A FF15 043A4300 call dword ptr ds: ; MSVCRTD.__p__commode


脱壳后的程序,直接成功运行。:D :D

[ 本帖最后由 野猫III 于 2006-6-3 12:05 编辑 ]

蓝枫 发表于 2006-6-3 18:40:06

支持呀!!!

haiye 发表于 2006-6-3 19:31:08

我也来支持一下!

matin 发表于 2006-6-5 10:01:29

好 下来学习~

thank243 发表于 2006-6-8 16:42:05

谢谢猫哥啊

dryzh 发表于 2006-7-11 01:46:04

俗称:"SEH最后一次异常法"

matin 发表于 2006-7-13 13:29:29

支持呀!!!

小小子 发表于 2007-8-12 18:03:30

下载了,谢谢分享!/:001

gaodao1 发表于 2007-10-2 13:02:47

支持一下。又增长了点知识。

majun1980 发表于 2008-5-2 00:49:42

页: [1] 2
查看完整版本: EXEStealth 三个版本壳的同样脱法