网站 › ≮ 软件脱壳 ≯ › molebox V4.1290脱壳 By Smoke

幽雅的心 发表于 2011-3-22 15:59:17

molebox V4.1290脱壳 By Smoke

【文章标题】: molebox V4.1290脱壳
【文章作者】: Smoke
【作者邮箱】: [email protected]
【作者主页】: www.smoke08.com
【作者QQ号】: 97463448
【软件名称】: molebox.exe
【软件大小】: 1.26 MB
【下载地址】:http://u.115.com/file/f25e456c9
【脱文下载】:http://u.115.com/file/f263729893
【加壳方式】: molebox
【保护方式】: molebox
【编写语言】: Microsoft Visual C++ 7.0
【使用工具】: OD,LordPE,REC
【操作平台】: Windows Xp Sp3
【软件介绍】: 一款不错的**壳.
【作者声明】: 只是感兴趣,没有其他目的.失误之处敬请各位多多指教!
--------------------------------------------------------------------------------
【详细过程】
molebox 是一款不错的**壳
就用molebox V4.1290主程序来进行演示吧
有不到位的地方还请各位多多指出.
程序为Microsoft Visual C++ 7.0编写
就用xp自带的notepad.exe对比吧
OD载入notepad.exe
记录:
010073B4   .66:8138 4D5Acmp   word ptr , 5A4D
010073B9   .75 1F         jnz   short 010073DA                   ;010073DA
010073BB   .8B48 3C       mov   ecx, dword ptr
010073BE   .03C8          add   ecx, eax
010073C0   .8139 50450000 cmp   dword ptr , 4550
二进制为:
66 81 38 4D 5A 75 1F 8B 48 3C 03 C8 81 39 50 45 00 00

载入molebox.exe
F9运行
Alt+M
查找二进制 66 81 38 4D 5A 75 1F 8B 48 3C 03 C8 81 39 50 45 00 00
复制 004F189266   f
来到CPU窗口 跟随表达式 004F1892
Ctrl+L 来到
004F18E0    6A 74         push    74
004F18E2    68 D0E55600   push    56E5D0
004F18E7    E8 A4030000   call    004F1C90                         ; 004F1C90
004F18EC    33DB            xor   ebx, ebx
004F18EE    895D E0         mov   dword ptr , ebx
004F18F1    53            push    ebx
004F18F2    8B3D 90C25100   mov   edi, dword ptr           ; kernel32.GetModuleHandleA
004F18F8    FFD7            call    edi
004F18FA    66:8138 4D5A    cmp   word ptr , 5A4D
004F18FF    75 1F         jnz   short 004F1920                   ; 004F1920
004F1901    8B48 3C         mov   ecx, dword ptr
004F1904    03C8            add   ecx, eax
004F1906    8139 50450000   cmp   dword ptr , 4550

在 004F18E0    6A 74         push    74//下硬件执行断点

OD重载F9运行 看IAT 似乎没加密

但是前人提到了IAT除了以下几个,全部有效:
004F1652   - FF25 90CC5100      jmp dword ptr ds:
004F1658   - FF25 A0CC5100      jmp dword ptr ds:
004F165E   - FF25 94CC5100      jmp dword ptr ds:
004F1664   - FF25 98CC5100      jmp dword ptr ds:
004F166A   - FF25 9CCC5100      jmp dword ptr ds:

跟随表达式到 004F1652

数据窗口来到00E35010 往上拉 来到 00E30000发现是一个PE文件 应该是**的dll文件

现在还不能dump出来.因为文件已经被初始化了... 记录 DLL基址:00E30000

00E300004D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00MZ?......

pxhb 发表于 2015-1-30 11:57:50

没有复制完？{:soso_e119:}

xjhkkk 发表于 2015-7-29 18:23:57

嗯看看怎么样

查看完整版本: molebox V4.1290脱壳 By Smoke