解决PolyCrypt PE 2.1被杀软件误报的问题

黑夜彩虹

第一层：ASPack 2.12 -> Alexey Solodovnikov

ESP定律脱之，OD载入，停在：

00434001 PolyC>  60                 pushad                    // F8   hr esp
00434002         E8 03000000        call PolyCryp.0043400A
00434007       - E9 EB045D45        jmp 45A044F7

F9　来到：

004343B0        /75 08              jnz short PolyCryp.004343BA         //F8
004343B2        |B8 01000000        mov eax,1
004343B7        |C2 0C00            retn 0C     
004343BA        \68 0D304300        push PolyCryp.0043300D             //F8      
004343BF         C3                 retn                              //飞向OEP
....
0043300D         60                 pushad                           //Dump it..
0043300E         E8 EDFFFFFF        call PolyCryp.00433000



第二层：PolyCrypt PE 2005.06.01 -> JLab Software
也可以用ESP定律方法　

内存映射， 区段=CODE 下内存断点，F9
004330A4         8B10               mov edx,dword ptr ds:[eax]
004330A6         33C0               xor eax,eax
004330A8         64:8B40 30         mov eax,dword ptr fs:[eax+30]


内存映射， 区段=DATA 下内存断点，F9
77F51292         F2:AE              repne scas byte ptr es:[edi]
77F51294         F7D1               not ecx
77F51296         81F9 FFFF0000      cmp ecx,0FFFF
77F5129C         76 05              jbe short ntdll.77F512A3

内存映射， 区段=.idata 下内存断点，F9
00403816       - FF25 C4824000      jmp dword ptr ds:[4082C4]          ; F8
0040381C       - FF25 CC824000      jmp dword ptr ds:[4082CC]          ; comdlg32.GetOpenFileNameA
00403822       - FF25 D4824000      jmp dword ptr ds:[4082D4]          ; COMCTL32.InitCommonControls
00403828         0000               add byte ptr ds:[eax],al
0040382A         0000               add byte ptr ds:[eax],al

71F2D38D ulib.>  8BFF               mov edi,edi                        ; ntdll.77F63268
71F2D38F         55                 push ebp
71F2D390         8BEC               mov ebp,esp
71F2D392         5D                 pop ebp
71F2D393       - FF25 0411F271      jmp dword ptr ds:[<&KERNEL32.FreeL>; kernel32.FreeLibrary

一直F8，来到

00401018         E8 DF260000        call 3300D.004036FC                ; 随便找个地方dump都行，晕...
0040101D         8BF0               mov esi,eax
0040101F         8BFE               mov edi,esi
00401021         47                 inc edi
00401022         B0 22              mov al,22
00401024         B9 FF000000        mov ecx,0FF
00401029         F2:AE              repne scas byte ptr es:[edi]
0040102B         F2:AE              repne scas byte ptr es:[edi]
0040102D         57                 push edi
=====================================================================
ESP定律：

0043300D 3300D>  60                    pushad           //F8 Hr esp
0043300E         E8 EDFFFFFF           call 3300D.00433000
00433013       ^ EB F1                 jmp short 3300D.00433006

F9来到：

0043342E         68 00104000           push 3300D.00401000   //F8
00433433         C3                    retn                 //F8
00433434         0000                  add byte ptr ds:[eax],al

....稍停一下后，来到：

00401000         68 00404000           push                3300D.00404000                ; 在这里dump
00401005         E8 16270000           call 3300D.00403720                ; jmp 到

=================================================================

修复IAT　再PEID后，ASPack 2.x (without poly) -> Alexey Solodovnikov

不过杀软已经不报毒了，呵~~

chp1

好东西,学习