堀北压缩(KByS)0.28主程序+加壳软件脱壳+脱壳视频
哦喜欢用这个软件加壳, 可是一往论坛上发附件,有人就惊呼病毒,晕死,强烈抗议金山和江民的误报~~压缩壳,哦之是试脱,失敬之处。还望shoooo大侠不要怪罪。:smile06 喜欢shoooo的作品 解决到误报问题就更完美了~~00401000 >/$68 71EA4A00 PUSH 堀北压缩.004AEA71 ;OD载入停到这里~
00401005|.E8 01000000 CALL 堀北压缩.0040100B ;这里ESP定律
F9 OD停到这里
004AEA71 B8 83EA0A00 MOV EAX,0AEA83 ; ESP停到这里
004AEA76 BA 00004000 MOV EDX,堀北压缩.00400000
004AEA7B 03C2 ADD EAX,EDX
004AEA7D FFE0 JMP EAX
004AEA7F B1 15 MOV CL,15
004AEA81 0000 ADD BYTE PTR DS:[EAX],AL
004AEA83 60 PUSHAD
004AEA84 E8 00000000 CALL 堀北压缩.004AEA89 ; F9一次到这里
F9后 循环返回到这里
00401005|.E8 01000000 CALL 堀北压缩.0040100B
下面继续F9运行 (大约)15次时 OD有一次明显的时间间隔 然后停到这里
00432A71 B8 E5A70000 MOV EAX,0A7E5 ;停到这里
00432A76 BA 00004000 MOV EDX,堀北压缩.00400000
00432A7B 03C2 ADD EAX,EDX
00432A7D FFE0 JMP EAX ;到这里F7进
00432A7F B1 15 MOV CL,15
00432A81 0000 ADD BYTE PTR DS:[EAX],AL
00432A83 60 PUSHAD
00432A84 E8 00000000 CALL 堀北压缩.00432A89
进入后 (Ctrl+A 我这的OD需要分析下代码 )这里就是OEP
0040A7E5/.55 PUSH EBP ;OEP
0040A7E6|.8BEC MOV EBP,ESP
0040A7E8|.6A FF PUSH -1
0040A7EA|.68 C0F54000 PUSH 堀北压缩.0040F5C0
0040A7EF|.68 00BC4000 PUSH 堀北压缩.0040BC00 ;SE 处理程序安装
0040A7F4|.64:A1 0000000>MOV EAX,DWORD PTR FS:
Dump Microsoft Visual C++ 6.0 所写~~
刚才试了下 把金贝壳加上崛北壳 脱下试试
bp VirtualFree下断点
F9十几次 然后就到了OEP
00669965 .8BEC MOV EBP,ESP // 停到了这里
00669967 .83C4 EC ADD ESP,-14
0066996A .53 PUSH EBX
0066996B .56 PUSH ESI
0066996C .57 PUSH EDI
这时我们发现 是Borland Delphi 6.0 - 7.0写的
但是OEP少了一句: 00669964 > $55 PUSH EBP
如果直接脱的话 PEID查无法识别 所以DUMP的时候 OEP 要修改为上一句的地址
第二种方法 如果直接F8脱的话 就不会出现这种情况~~ 就是时间梢梢常些~~
[ 本帖最后由 Nisy 于 2006-8-26 00:43 编辑 ]
另一种脱法+视频 BY:cater2005
偷个懒,知道程序是VC 写的bp GetVersion
alt+f9
上找 OEP
正确方法
删除所有断点,忽律所有异常!
OD 加载
Alt+M
1首先 资源 区段 (下面蓝色的) F2 运行 断下
2然后 输入表区段(紫色的) F2 运行 断下
3. 最后 代码段 (红色的) F2 运行 断下
OEP 因该就到了!
00400000 00001000 堀北压缩 PE 文件头 Imag R RWE
00401000 0000E000 堀北压缩 .text 代码 Imag R RWE
0040F000 00002000 堀北压缩 .rdata 数据 Imag R RWE
00411000 00004000 堀北压缩 .data Imag R RWE
00415000 0001D000 堀北压缩 .rsrc Imag R RWE
00432000 0001E000 堀北压缩 .shoooo Imag R RWE
00450000 0001F000 堀北压缩 .shoooo Imag R RWE
0046F000 0001F000 堀北压缩 .shoooo Imag R RWE
0048E000 00020000 堀北压缩 .shoooo Imag R RWE
004AE000 00021000 堀北压缩 .shoooo 输入表,资源 RWE
PS:内存断点找 OEP 得确是神速的
但是 对于 保护型的 壳来说,要注 ITA 的修复
不然程序就给你 那副 猪腰子脸看~
[ 本帖最后由 Nisy 于 2006-8-29 23:07 编辑 ] 学习,感谢ing... 支持一下兄弟,继续!/:D
不错,好贴,学习了!
/find找找有没有好东东。看文章能不能找出点文章以外的好东东。 原帖由 machenglin 于 2006-8-25 14:42 发表支持一下兄弟,继续!/:D
有马大哥的鼓励 哦一定会继续努力的~~ /:D 刚刚学写脚本(只适用于.exe)
// KBYS 0.28 unpacked script v0.1
// by windycandy
// https://www.chinapyg.com
var addr
var temp
findoep:
sto
mov addr,esp
bphws addr,"r"
esto
esto
esto
sto
sto
sto
sto
bphwc addr
mov temp,eip
cmp temp,401000
je findoep
msg "可以dump并Fixed了"
log eip
cmt eip, "OEP Found By: windycandy"
ret
[ 本帖最后由 windycandy 于 2006-8-26 12:59 编辑 ] 感谢分享了! 谢谢分享了.. 鼓励。和学习、/:D