野猫III 发表于 2006-7-5 21:42:07

ESP定律脱壳之Crunch/PE Heuristic -> Bit-Arts [Overlay]

对象软件:FileName Pro 2.0.11
软件大小:2181KB
软件语言:英文
软件类别:国外软件/共享版/更名工具
运行环境:Win9x/Me/NT/2000/XP/2003
加入时间:2006-7-5 15:50:44
下载次数:1014
下载地址:http://gz.onlinedown.net/soft/25770.htm
软件介绍:无论你有一些或者数千个文件要给重新命名, FileName Pro能在几秒钟内给你的文件重新命名。 实际上, FileName Pro能给重新命名基于许多文件命名模式你使成形, 并且也能移动当时的你文件到新文件夹更名操作完成。 另外,如果由于任何原因你需要破坏文件名操作, FileName Pro也能做到。

简单脱壳过程 by WildCatIII:

OD载入程序:
00440000 >55            PUSH EBP
00440001    E8 00000000   CALL fnamepro.00440006
00440006    5D            POP EBP
00440007    83ED 06         SUB EBP,6
0044000A    8BC5            MOV EAX,EBP
0044000C    55            PUSH EBP
0044000D    60            PUSHAD
0044000E    89AD 8A340000   MOV DWORD PTR SS:[EBP+348A],EBP//单步到这,根据ESP定律脱壳方法,下命令断点hr esp,F9运行程序,程序被中断在:
004400E5    5D            POP EBP                                  ; fnamepro.<模块入口点>
004400E6    8B85 86340000   MOV EAX,DWORD PTR SS:[EBP+3486]
004400EC    5D            POP EBP
004400ED    FFE0            JMP EAX   //单步来这,Jump下去就到程序的OEP
+++++++++++++++++
00402770    68 64414000   PUSH fnamepro.00404164   //OEP,Dump EIP:2770
00402775    E8 F0FFFFFF   CALL fnamepro.0040276A                   ; JMP 到 MSVBVM60.ThunRTMain
0040277A    0000            ADD BYTE PTR DS:[EAX],AL
0040277C    0000            ADD BYTE PTR DS:[EAX],AL
0040277E    0000            ADD BYTE PTR DS:[EAX],AL
00402780    3000            XOR BYTE PTR DS:[EAX],AL
00402782    0000            ADD BYTE PTR DS:[EAX],AL
00402784    40            INC EAX
00402785    0000            ADD BYTE PTR DS:[EAX],AL
00402787    0000            ADD BYTE PTR DS:[EAX],AL
00402789    0000            ADD BYTE PTR DS:[EAX],AL
0040278B    000A            ADD BYTE PTR DS:[EDX],CL
0040278D    17            POP SS                                 ; 段寄存器更改

++++++++++++++++++++
用PEiD查得VB程序,可以运行,不用修复。呵呵~~~

本破文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

[ 本帖最后由 野猫III 于 2006-7-5 21:57 编辑 ]

快雪时晴 发表于 2006-7-6 00:11:35

佩服,多产呀,老弟

极速暴龙 发表于 2006-7-6 11:14:07

好厉害啊PFPF

colorkey 发表于 2008-3-1 13:33:58

正准备看,老板来了,汗!!!

moyelin 发表于 2008-5-24 01:47:45

辛苦了!!学习下`~

cur 发表于 2008-6-2 19:09:38

呵呵 学习下努力加油!!

piaoyao424 发表于 2008-6-4 19:41:00

楼主太猛了。。/:L

言申言舌 发表于 2008-6-4 22:56:34

来学习一下楼主的ESP

kelvar 发表于 2008-7-31 20:33:08

我有一个Crunch/PE Heuristic -> Bit-Arts 加壳的程序
前面的一样等下断点hr esp后中断在
006B440D    83EC 08         sub esp,8
006B4410    C3            retn
006B4411    0000            add byte ptr ds:,al
006B4413    0000            add byte ptr ds:,al
006B4415    0000            add byte ptr ds:,al
运行retn后返回到
到达
006B3102   /EB 05         jmp short PC-PCISO.006B3109
006B3104   |E8 0E130000   call PC-PCISO.006B4417
006B3109   \E8 38100000   call PC-PCISO.006B4146
006B310E    8BDD            mov ebx,ebp
006B3110    81C3 6F390000   add ebx,396F
006B3116    8B1B            mov ebx,dword ptr ds:
006B3118    F7E3            mul ebx
脱壳后出现错误,不知道大侠能指点下不

cls99 发表于 2008-8-10 07:45:50

ESP定律不看不行的
页: [1] 2
查看完整版本: ESP定律脱壳之Crunch/PE Heuristic -> Bit-Arts [Overlay]