设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools
返回列表 发新帖
查看: 5719|回复: 2

[原创] molebox V4.1290脱壳 By Smoke

[复制链接]
幽雅的心
  • TA的每日心情

    2021-3-15 02:34

    • 签到天数: 347 天

    [LV.8]以坛为家I
    发表于 2011-3-22 15:59:17 | 显示全部楼层 |阅读模式
    【文章标题】: molebox V4.1290脱壳
    【文章作者】: Smoke
    【作者邮箱】: [email protected]
    【作者主页】: www.smoke08.com
    【作者QQ号】: 97463448
    【软件名称】: molebox.exe
    【软件大小】: 1.26 MB
    【下载地址】:  http://u.115.com/file/f25e456c9
    【脱文下载】:  http://u.115.com/file/f263729893  
    【加壳方式】: molebox
    【保护方式】: molebox
    【编写语言】: Microsoft Visual C++ 7.0
    【使用工具】: OD,LordPE,REC
    【操作平台】: Windows Xp Sp3
    【软件介绍】: 一款不错的**壳.
    【作者声明】: 只是感兴趣,没有其他目的.失误之处敬请各位多多指教!
    --------------------------------------------------------------------------------
    【详细过程】
      molebox 是一款不错的**壳
      就用molebox V4.1290主程序来进行演示吧
      有不到位的地方还请各位多多指出.
      程序为Microsoft Visual C++ 7.0编写
      就用xp自带的notepad.exe对比吧
      OD载入notepad.exe
      记录:
      010073B4   .  66:8138 4D5A  cmp     word ptr [eax], 5A4D
      010073B9   .  75 1F         jnz     short 010073DA                   ;  010073DA
      010073BB   .  8B48 3C       mov     ecx, dword ptr [eax+3C]
      010073BE   .  03C8          add     ecx, eax
      010073C0   .  8139 50450000 cmp     dword ptr [ecx], 4550
      二进制为:
      66 81 38 4D 5A 75 1F 8B 48 3C 03 C8 81 39 50 45 00 00
      
      载入molebox.exe
      F9运行  
      Alt+M
      查找二进制 66 81 38 4D 5A 75 1F 8B 48 3C 03 C8 81 39 50 45 00 00
      复制 004F1892  66   f
      来到CPU窗口 跟随表达式 004F1892
      Ctrl+L 来到
      004F18E0    6A 74           push    74
      004F18E2    68 D0E55600     push    56E5D0
      004F18E7    E8 A4030000     call    004F1C90                         ; 004F1C90
      004F18EC    33DB            xor     ebx, ebx
      004F18EE    895D E0         mov     dword ptr [ebp-20], ebx
      004F18F1    53              push    ebx
      004F18F2    8B3D 90C25100   mov     edi, dword ptr [51C290]          ; kernel32.GetModuleHandleA
      004F18F8    FFD7            call    edi
      004F18FA    66:8138 4D5A    cmp     word ptr [eax], 5A4D
      004F18FF    75 1F           jnz     short 004F1920                   ; 004F1920
      004F1901    8B48 3C         mov     ecx, dword ptr [eax+3C]
      004F1904    03C8            add     ecx, eax
      004F1906    8139 50450000   cmp     dword ptr [ecx], 4550
      
      在 004F18E0    6A 74           push    74  //下硬件执行断点
      
      OD重载  F9运行 看IAT 似乎没加密
      
      但是前人提到了IAT除了以下几个,全部有效:
      004F1652   - FF25 90CC5100      jmp dword ptr ds:[51CC90]
      004F1658   - FF25 A0CC5100      jmp dword ptr ds:[51CCA0]
      004F165E   - FF25 94CC5100      jmp dword ptr ds:[51CC94]
      004F1664   - FF25 98CC5100      jmp dword ptr ds:[51CC98]
      004F166A   - FF25 9CCC5100      jmp dword ptr ds:[51CC9C]
      
      跟随表达式到 004F1652
      
      数据窗口来到00E35010 往上拉 来到 00E30000  发现是一个PE文件 应该是**的dll文件
      
      现在还不能dump出来.因为文件已经被初始化了... 记录 DLL基址:00E30000
      
      00E30000  4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00  MZ?......
    Microsoft, WINDOWS, 软件, 文章, 下载地址

    相关帖子

    PYG19周年生日快乐!
    回复

    使用道具 举报

    pxhb
  • TA的每日心情

    2022-10-14 10:31

    • 签到天数: 26 天

    [LV.4]偶尔看看III
    发表于 2015-1-30 11:57:50 | 显示全部楼层
    没有复制完?{:soso_e119:}
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    xjhkkk
  • TA的每日心情
    无聊
    2015-7-29 17:43

    • 签到天数: 1 天

    [LV.1]初来乍到
    发表于 2015-7-29 18:23:57 | 显示全部楼层
    嗯看看怎么样

    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表