Nisy 发表于 2006-8-25 13:45:26

堀北压缩(KByS)0.28主程序+加壳软件脱壳+脱壳视频

哦喜欢用这个软件加壳, 可是一往论坛上发附件,有人就惊呼病毒,晕死,强烈抗议金山和江民的误报~~压缩壳,哦之是试脱,失敬之处。还望shoooo大侠不要怪罪。:smile06 喜欢shoooo的作品 解决到误报问题就更完美了~~


00401000 >/$68 71EA4A00   PUSH 堀北压缩.004AEA71                     ;OD载入停到这里~
00401005|.E8 01000000   CALL 堀北压缩.0040100B                     ;这里ESP定律

F9 OD停到这里
004AEA71    B8 83EA0A00   MOV EAX,0AEA83                           ; ESP停到这里
004AEA76    BA 00004000   MOV EDX,堀北压缩.00400000
004AEA7B    03C2            ADD EAX,EDX
004AEA7D    FFE0            JMP EAX
004AEA7F    B1 15         MOV CL,15
004AEA81    0000            ADD BYTE PTR DS:[EAX],AL
004AEA83    60            PUSHAD
004AEA84    E8 00000000   CALL 堀北压缩.004AEA89                     ; F9一次到这里

F9后 循环返回到这里
00401005|.E8 01000000   CALL 堀北压缩.0040100B                     

下面继续F9运行 (大约)15次时 OD有一次明显的时间间隔 然后停到这里

00432A71    B8 E5A70000   MOV EAX,0A7E5                ;停到这里
00432A76    BA 00004000   MOV EDX,堀北压缩.00400000
00432A7B    03C2            ADD EAX,EDX
00432A7D    FFE0            JMP EAX                      ;到这里F7进
00432A7F    B1 15         MOV CL,15
00432A81    0000            ADD BYTE PTR DS:[EAX],AL
00432A83    60            PUSHAD
00432A84    E8 00000000   CALL 堀北压缩.00432A89

进入后 (Ctrl+A 我这的OD需要分析下代码 )这里就是OEP
0040A7E5/.55            PUSH EBP                        ;OEP
0040A7E6|.8BEC          MOV EBP,ESP
0040A7E8|.6A FF         PUSH -1
0040A7EA|.68 C0F54000   PUSH 堀北压缩.0040F5C0
0040A7EF|.68 00BC4000   PUSH 堀北压缩.0040BC00                     ;SE 处理程序安装
0040A7F4|.64:A1 0000000>MOV EAX,DWORD PTR FS:

Dump Microsoft Visual C++ 6.0 所写~~

刚才试了下 把金贝壳加上崛北壳 脱下试试
bp VirtualFree下断点
F9十几次 然后就到了OEP

00669965   .8BEC          MOV EBP,ESP   // 停到了这里
00669967   .83C4 EC       ADD ESP,-14
0066996A   .53            PUSH EBX
0066996B   .56            PUSH ESI
0066996C   .57            PUSH EDI

这时我们发现 是Borland Delphi 6.0 - 7.0写的
但是OEP少了一句: 00669964 > $55            PUSH EBP

如果直接脱的话 PEID查无法识别 所以DUMP的时候 OEP 要修改为上一句的地址

第二种方法 如果直接F8脱的话 就不会出现这种情况~~ 就是时间梢梢常些~~

[ 本帖最后由 Nisy 于 2006-8-26 00:43 编辑 ]

Nisy 发表于 2006-8-25 13:46:19

另一种脱法+视频 BY:cater2005

偷个懒,知道程序是VC 写的
bp GetVersion
alt+f9
上找 OEP

正确方法
删除所有断点,忽律所有异常!
OD 加载

Alt+M
1首先 资源 区段 (下面蓝色的) F2 运行 断下
2然后 输入表区段(紫色的)   F2 运行 断下
3. 最后 代码段    (红色的)   F2 运行 断下
OEP 因该就到了!

00400000   00001000   堀北压缩      PE 文件头      Imag   R         RWE
00401000   0000E000   堀北压缩       .text      代码    Imag   R         RWE
0040F000   00002000   堀北压缩       .rdata   数据   Imag   R         RWE
00411000   00004000   堀北压缩       .data                  Imag   R         RWE
00415000   0001D000   堀北压缩       .rsrc                   Imag   R         RWE
00432000   0001E000   堀北压缩       .shoooo            Imag   R         RWE
00450000   0001F000   堀北压缩       .shoooo            Imag   R         RWE
0046F000   0001F000   堀北压缩       .shoooo            Imag   R         RWE
0048E000   00020000   堀北压缩       .shoooo            Imag   R         RWE
004AE000   00021000   堀北压缩       .shoooo    输入表,资源         RWE


PS:内存断点找 OEP 得确是神速的
但是 对于 保护型的 壳来说,要注 ITA 的修复
不然程序就给你 那副 猪腰子脸看~

[ 本帖最后由 Nisy 于 2006-8-29 23:07 编辑 ]

黑夜彩虹 发表于 2006-8-25 14:41:45

学习,感谢ing...

machenglin 发表于 2006-8-25 14:42:17

支持一下兄弟,继续!/:D

eopenfang 发表于 2006-8-25 16:02:09

不错,好贴,学习了!

/find找找有没有好东东。看文章能不能找出点文章以外的好东东。

Nisy 发表于 2006-8-26 00:48:16

原帖由 machenglin 于 2006-8-25 14:42 发表
支持一下兄弟,继续!/:D


有马大哥的鼓励 哦一定会继续努力的~~ /:D

windycandy 发表于 2006-8-26 12:05:19

刚刚学写脚本(只适用于.exe)

// KBYS 0.28 unpacked script v0.1
// by windycandy
// https://www.chinapyg.com

var addr
var temp
findoep:
sto
mov addr,esp
bphws addr,"r"
esto
esto
esto
sto
sto
sto
sto
bphwc addr
mov temp,eip
cmp temp,401000
je findoep
msg "可以dump并Fixed了"
log eip
cmt eip, "OEP Found By: windycandy"
ret

[ 本帖最后由 windycandy 于 2006-8-26 12:59 编辑 ]

Lancia 发表于 2006-8-26 18:02:42

感谢分享了!

madshime 发表于 2006-11-12 10:47:48

谢谢分享了..

binbinbin 发表于 2006-11-22 11:39:33

鼓励。和学习、/:D
页: [1] 2 3
查看完整版本: 堀北压缩(KByS)0.28主程序+加壳软件脱壳+脱壳视频