堀北压缩(KByS)0.28主程序+加壳软件脱壳+脱壳视频

Nisy

哦喜欢用这个软件加壳， 可是一往论坛上发附件，有人就惊呼病毒，晕死，强烈抗议金山和江民的误报~~压缩壳，哦之是试脱，失敬之处。还望shoooo大侠不要怪罪。:smile06 喜欢shoooo的作品 解决到误报问题就更完美了~~


00401000 >/$  68 71EA4A00   PUSH 堀北压缩.004AEA71                       ;  OD载入停到这里~
00401005  |.  E8 01000000   CALL 堀北压缩.0040100B                       ;  这里ESP定律

F9 OD停到这里
004AEA71    B8 83EA0A00     MOV EAX,0AEA83                           ; ESP停到这里
004AEA76    BA 00004000     MOV EDX,堀北压缩.00400000
004AEA7B    03C2            ADD EAX,EDX
004AEA7D    FFE0            JMP EAX
004AEA7F    B1 15           MOV CL,15
004AEA81    0000            ADD BYTE PTR DS:[EAX],AL
004AEA83    60              PUSHAD
004AEA84    E8 00000000     CALL 堀北压缩.004AEA89                       ; F9一次到这里

F9后 循环返回到这里
00401005  |.  E8 01000000   CALL 堀北压缩.0040100B                       

下面继续F9运行 （大约）15次时 OD有一次明显的时间间隔 然后停到这里

00432A71    B8 E5A70000     MOV EAX,0A7E5                ；停到这里
00432A76    BA 00004000     MOV EDX,堀北压缩.00400000
00432A7B    03C2            ADD EAX,EDX
00432A7D    FFE0            JMP EAX                      ；到这里F7进
00432A7F    B1 15           MOV CL,15
00432A81    0000            ADD BYTE PTR DS:[EAX],AL
00432A83    60              PUSHAD
00432A84    E8 00000000     CALL 堀北压缩.00432A89

进入后 （Ctrl+A 我这的OD需要分析下代码 ）这里就是OEP
0040A7E5  /.  55            PUSH EBP                        ；OEP
0040A7E6  |.  8BEC          MOV EBP,ESP
0040A7E8  |.  6A FF         PUSH -1
0040A7EA  |.  68 C0F54000   PUSH 堀北压缩.0040F5C0
0040A7EF  |.  68 00BC4000   PUSH 堀北压缩.0040BC00                       ;  SE 处理程序安装
0040A7F4  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]

Dump Microsoft Visual C++ 6.0 所写~~

刚才试了下 把金贝壳加上崛北壳 脱下试试
bp VirtualFree下断点
F9十几次 然后就到了OEP

00669965   .  8BEC          MOV EBP,ESP   // 停到了这里
00669967   .  83C4 EC       ADD ESP,-14
0066996A   .  53            PUSH EBX
0066996B   .  56            PUSH ESI
0066996C   .  57            PUSH EDI

这时我们发现 是Borland Delphi 6.0 - 7.0写的
但是OEP少了一句： 00669964 > $  55            PUSH EBP

如果直接脱的话 PEID查无法识别 所以DUMP的时候 OEP 要修改为上一句的地址

第二种方法 如果直接F8脱的话 就不会出现这种情况~~ 就是时间梢梢常些~~

[ 本帖最后由 Nisy 于 2006-8-26 00:43 编辑 ]

Nisy

偷个懒,知道程序是  VC 写的
bp GetVersion
alt+f9
上找 OEP

正确方法
删除所有断点,忽律所有异常!
OD 加载

Alt+M
1  首先 资源 区段 (下面蓝色的) F2 运行 断下  
2  然后 输入表区段(紫色的)     F2 运行 断下
3. 最后 代码段    (红色的)     F2 运行 断下
OEP 因该就到了!

00400000   00001000   堀北压缩        PE 文件头        Imag   R         RWE
00401000   0000E000   堀北压缩       .text      代码    Imag   R         RWE
0040F000   00002000   堀北压缩       .rdata     数据   Imag   R         RWE
00411000   00004000   堀北压缩       .data                  Imag   R         RWE
00415000   0001D000   堀北压缩       .rsrc                   Imag   R         RWE
00432000   0001E000   堀北压缩       .shoooo              Imag   R         RWE
00450000   0001F000   堀北压缩       .shoooo              Imag   R         RWE
0046F000   0001F000   堀北压缩       .shoooo              Imag   R         RWE
0048E000   00020000   堀北压缩       .shoooo              Imag   R         RWE
004AE000   00021000   堀北压缩       .shoooo    输入表,资源           RWE

PS：内存断点找 OEP 得确是神速的
但是 对于 保护型的 壳来说,要注 ITA 的修复
不然程序就给你 那副 猪腰子脸看~

[ 本帖最后由 Nisy 于 2006-8-29 23:07 编辑 ]

黑夜彩虹

学习，感谢ing...

machenglin

支持一下兄弟，继续！/:D

eopenfang

/find找找有没有好东东。看文章能不能找出点文章以外的好东东。

Nisy

原帖由 machenglin 于 2006-8-25 14:42 发表
支持一下兄弟，继续！/:D

有马大哥的鼓励 哦一定会继续努力的~~ /:D

windycandy

刚刚学写脚本(只适用于.exe)

// KBYS 0.28 unpacked script v0.1
// by windycandy[PYG]
// https://www.chinapyg.com

var addr
var temp
findoep:
sto
mov addr,esp
bphws addr,"r"
esto
esto
esto
sto
sto
sto
sto
bphwc addr
mov temp,eip
cmp temp,401000
je findoep
msg "可以dump并Fixed了"
log eip
cmt eip, "OEP Found By: windycandy[PYG]"
ret

[ 本帖最后由 windycandy 于 2006-8-26 12:59 编辑 ]

Lancia

感谢分享了！

madshime

谢谢分享了..

binbinbin

鼓励。和学习、/:D