设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools飘云阁工具包(已更新第4季)
返回列表 发新帖
查看: 4830|回复: 3

[已解决] 大家遇见过这种壳吗?

[复制链接]
jjwspj

该用户从未签到
发表于 2006-9-13 14:17:09 | 显示全部楼层 |阅读模式
大家遇见过这种壳吗?  Thinstall 2.4x - 2.5x -> Jitit Software [Overlay] *

我试过用esp定律不行,单步跟踪也不行(可能我操作有误),od载入后alt+M只能看到:  
内存映射,项目 22
地址=00400000
大小=00001000 (4096.)
宿主=模块SDK?00400000 (自身)
区段=
包含=PE header
类型=Imag 01001002
访问=R
初始访问=RWE

内存映射,项目 23
地址=00401000
大小=000AB000 (700416.)
宿主=模块SDK?00400000
区段=.text
包含=code,imports,resources
类型=Imag 01001002
访问=R
初始访问=RWE


jjwspj想问一下这种壳该如何下手?

[ 本帖最后由 jjwspj 于 2006-9-14 12:31 编辑 ]
PYG19周年生日快乐!
回复

使用道具 举报

Flyeagle

该用户从未签到
发表于 2006-9-13 14:31:59 | 显示全部楼层
找到了Fly大侠的一篇文章,希望能对你有帮助:

  2. 标 题:Thinstall V2.501脱壳——Win98的Notepad
  3. 发信人:fly
  4. 时 间:2004-12-08,17:54
  5. 详细信息:

  7. 软件类别:  国外软件 / 共享版 / 安装制作
  8. 应用平台:  Win9x/NT/2000/XP
  9. 实例下载:点击此下载
  10. 推荐等级:  ****
  11. 开 发 商:  http://thinstall.com/
  12. 软件介绍:  它可以把程序所需要的DLL和OCX都打到一个EXE中,然后在运行的时候自动将DLL、OCX释放出来。这个工具看起来不错,比较方便,但损失了一些性能,而且做成的EXE体积很大。只有当你的用户希望运行你的程序,而又不希望安装它(例如编写一个演示程序),你可以考虑这个工具。
  13.                
  14. 【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
  15.             
  16. 【调试环境】:WinXP、Ollydbg V1.10、PEiD、LordPE、WinHex
  17.             
  18. —————————————————————————————————
  19. 【脱壳过程】:
  20.          
  21.          
  22. Thinstall其实是捆绑壳,但是比PEBundle之类要强。Thinstall可以包装.NET、Java、VB等程序。
  23. 新版的Thinstall不对外提供公开下载,运行时需要连接License Server或者使用USB Key。
  24. 用Thinstall加壳Win98的Notepad作为试炼品吧。

  26. 放个PEiD的sign:
  27. [Thinstall V2.4X-2.5X -> Jitit]
  28. signature = 55 8B EC B8 ?? ?? ?? ?? BB ?? ?? ?? ?? 50 E8 00 00 00 00 58 2D ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? BD ?? ?? ?? ?? 03 E8
  29. ep_only = true
  30. —————————————————————————————————
  31. 一、前奏
  32.             
  33.      
  34. 设置Ollydbg忽略所有异常选项。老规矩:用IsDebug V1.4插件去掉Ollydbg的调试器标志。

  36. 00401A95     55                push ebp
  37. //进入Ollydbg后暂停在这
  38. 00401A96     8BEC              mov ebp,esp
  39. 00401A98     B8 3C1A4A7D       mov eax,7D4A1A3C
  40. 00401A9D     BB ED08B7F0       mov ebx,F0B708ED
  41. 00401AA2     50                push eax
  42. 00401AA3     E8 00000000       call Notepad.00401AA8

  44. 下断:BP GetModuleHandleA
  45. 中断后取消断点,Alt+F9返回

  47. 00401A66     FF15 E4534000     call dword ptr ds:[<&KERNEL32.GetModuleHandleA>]
  48. //返回这里
  49. 00401A6C     50                push eax ; Notepad.00400000

  51. Ctrl+F搜索命令:jmp eax

  53. 00401A8B     8B45 FC           mov eax,dword ptr ss:[ebp-4]
  54. 00401A8E     FFE0              jmp eax ; 7FF79E04
  55. //找到这里,F4过来

  57. 现在来到Thinstall的核心处理段:

  59. 7FF79E04     55                push ebp
  60. 7FF79E05     8BEC              mov ebp,esp
  61. 7FF79E07     6A FF             push -1
  62. 7FF79E09     68 70BEF87F       push 7FF8BE70
  63. 7FF79E0E     68 A09BF77F       push 7FF79BA0
  64. 7FF79E13     64:A1 00000000    mov eax,dword ptr fs:[0]
  65. 7FF79E19     50                push eax
  66. 7FF79E1A     64:8925 00000000  mov dword ptr fs:[0],esp
  67. 7FF79E21     83EC 10           sub esp,10
  68. 7FF79E24     53                push ebx
  69. 7FF79E25     56                push esi
  70. 7FF79E26     57                push edi
  71. 7FF79E27     8965 E8           mov dword ptr ss:[ebp-18],esp
  72. 7FF79E2A     FF15 7062F87F     call dword ptr ds:[7FF86270] ; kernel32.GetVersion


  75. —————————————————————————————————
  76. 二、获取加壳前程序的PE Header等数据


  79. Ctrl+S 搜索命令序列:
  80. mov eax,dword ptr ds:[eax+3C]
  81. mov ecx,dword ptr ss:[ebp-118]
  82. 找到在7FF427BA处,直接F4过去

  84. 7FF427A5     8B85 D4FDFFFF     mov eax,dword ptr ss:[ebp-22C]
  85. 7FF427AB     8B40 18           mov eax,dword ptr ds:[eax+18]
  86. 7FF427AE     8985 E8FEFFFF     mov dword ptr ss:[ebp-118],eax
  87. 7FF427B4     8B85 E8FEFFFF     mov eax,dword ptr ss:[ebp-118]
  88. 7FF427BA     8B40 3C           mov eax,dword ptr ds:[eax+3C]
  89. //F4到这里
  90. 7FF427BD     8B8D E8FEFFFF     mov ecx,dword ptr ss:[ebp-118]
  91. 7FF427C3     8D4401 18         lea eax,dword ptr ds:[ecx+eax+18]
  92. 7FF427C7     8985 D0FDFFFF     mov dword ptr ss:[ebp-230],eax  ; Notepad.004000E8
  93. //在这里可以得到PE Header和The Section Table数据 ★
  94. 7FF427CD     C705 D05DF97F 020>mov dword ptr ds:[7FF95DD0],2

  96. PE Header:
  97. 004000D0  50 45 00 00 4C 01 01 00 D6 57 5A 35 00 00 00 00  PE..L.諻Z5....
  98. 004000E0  00 00 00 00 E0 00 0E 01 0B 01 03 0A 00 40 00 00  ....?..@..
  99. 004000F0  00 70 00 00 00 00 00 00 CC 10 00 00 00 10 00 00  .p......?.....
  100. 00400100  00 50 00 00 00 00 40 00 00 10 00 00 00 10 00 00  .P....@.......
  101. 00400110  04 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00  ..............
  102. 00400120  C6 CA 00 00 00 04 00 00 00 00 00 00 02 00 00 00  剖............
  103. 00400130  00 00 10 00 00 10 00 00 00 00 10 00 00 10 00 00  ............
  104. 00400140  00 00 00 00 10 00 00 00 00 00 00 00 00 00 00 00  ...............
  105. 00400150  00 60 00 00 8C 00 00 00 00 70 00 00 C8 42 00 00  .`..?...p..菳..
  106. …… ……

  108. 毕竟只是捆绑壳,此时代码已经解压,现在dump则IAT等信息都是未加密的,正是脱壳的最佳时机!


  111. —————————————————————————————————
  112. 三、Dump、PE修正


  115. 如果你用LordPE来dump,会发现得到的dumped.exe连图标也没有了,别急,用WinHex把上面得到的PE Header和The Section Table等数据写入相应部分,这样就可以运行啦。你也可以用插件OllyDump先生去掉“重建输入表”选项来直接抓取,修改OEP,把BoundImport清0。

  117. 但是依旧只显示一个.text区段, 看看NumberOfSections:01,把PE头+06H处修改为05,所有的区段就露面了。
  118. 只保留LordPE的“Validate PE”选项,重建PE。   
  119. 这次脱的算是稍微有点完美了。


  122. —————————————————————————————————
  123. 四、飞向光明之巅


  126. 还想看看是怎样跳OEP的?
  127. Ctrl+F搜索命令:call dword ptr ss:[ebp-3B8]

  129. 7FF4289C     FF95 48FCFFFF     call dword ptr ss:[ebp-3B8]; Notepad.004010CC
  130. //飞向光明之巅! ^O^


  133. —————————————————————————————————   
  134.                                 
  135.          ,     _/
  136.         /| _.-~/            \_     ,        青春都一晌
  137.        ( /~   /              \~-._ |\
  138.        `\\  _/                \   ~\ )          忍把浮名
  139.    _-~~~-.)  )__/;;,.          \_  //'
  140.   /'_,\   --~   \ ~~~-  ,;;\___(  (.-~~~-.        换了破解轻狂
  141. `~ _( ,_..--\ (     ,;'' /    ~--   /._`\
  142.   /~~//'   /' `~\         ) /--.._, )_  `~
  143.   "  `~"  "      `"      /~'`\    `\\~~\   
  144.                          "     "   "~'  ""
  145.    
  146.               UnPacked By :   fly
  147.                2004-12-08 14:00


复制代码
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

Flyeagle

该用户从未签到
发表于 2006-9-13 14:59:38 | 显示全部楼层
:lol: :lol: :lol:
楼主运气不错。。。这里又找到了个全自动的东东:
https://www.chinapyg.com/viewthr ... a=page%3D1#pid49205
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

jjwspj

该用户从未签到
 楼主| 发表于 2006-9-14 12:25:15 | 显示全部楼层
多谢Flyeagle 兄弟的热情帮助,感动ing
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表