网站 › 『UnPackMe◇CrackMe◇KeyGenMe◇ReverseMe』 › 给大家发个脱壳去校验的练习吧，

kkbblzq 发表于 2008-11-17 12:11

给大家发个脱壳去校验的练习吧，

是我朋友写的论坛挂机精灵，不过嘛，他只是写了浏览器的部分，只是为了测试防脱壳的校验，本身没注册功能，除浏览器部分其他都属于空壳，只是练手用。别当软件了，据说7层保护校验。- -也不知道他怎么想的。。下载地址：7层保护.rar

小生我怕怕 发表于 2008-11-17 13:07

看图标应该没有问题吧!
解决掉的在下面!
没有7层保护

ximo 发表于 2008-11-17 13:03

强壳+多层校验?
不想多评价什么.
无论怎样,易语言总归还是易语言

[ 本帖最后由 ximo 于 2008-11-17 13:18 编辑 ]

kkbblzq 发表于 2008-11-17 12:12

真是麻烦东西，弄完启动自己生成VBS脚本自己删除脱壳文件- -，汗

x80x88 发表于 2008-11-17 13:28

上面两头大牛啊 ,我路过看看,顺便膜拜下

莱沙 发表于 2008-11-17 13:50

呵呵！两大壳神在斗牛，我等观战就好了！;P ;P ;P

夜冷风 发表于 2008-11-17 15:06

易语言加在多壳 感觉没有啥用!!
况且楼上那2大壳神!!我们只有参拜的份!!;P ;P ;P

小糊涂虫 发表于 2008-11-17 16:28

3楼4楼的果然厉害............................:lol

zeger 发表于 2008-11-17 20:19

这个似乎不难~~
是易语言写的，脱壳后，验证的几处jmp过，OK了

jmzhwf 发表于 2008-11-17 22:14

yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *

提示附加数据

脱壳开始:

OD载入程序~~

F8两次

下hr esp 硬件断点

F9运行.......F8两次,来到OEP

Lordpe 脱壳...


IR修复...抓取~~

工具overlay处理附加数据

运行程序...

没有反应并自动删除程序..有自校验...

OD载入....下bp ExitProcess 退出断点

提示错误 并在桌面出现tem.vbs

看来这是个脚本文件:

Dim fso
Set fso = CreateObject("Scripting.FileSystemObject")
fso.DeleteFile("C:\Documents and Settings\Administrator\桌面\复件 dumped_.exe")
fso.DeleteFile("C:\Documents and Settings\Administrator\桌面\tem.vbs")

原来是脚本删除,清空内容.把tem.vbs属性设为只读..方便下次测试..

回到OD

堆栈:0012FA88|004E789B返回到 复件_dum.004E789B 来自 复件_dum.004EF4DF

反汇编窗口跟随

向上来到段首

004E76B6/$55            push    ebp
004E76B7|.8BEC          mov   ebp, esp
004E76B9|.81EC 18000000 sub   esp, 18
004E76BF|.C745 FC 00000>mov   dword ptr , 0
004E76C6|.C745 F8 00000>mov   dword ptr , 0
004E76CD|.68 00000000   push    0

下断......重新来过...

断下来后,,堆栈:

0012FAAC   004E48AA返回到 复件_dum.004E48AA 来自 复件_dum.004E76B6

反汇编窗口跟随

看不懂,,,没问题..分析一下代码就可以了

004E48A5|> \E8 0C2E0000   call    004E76B6

向上找到跳转处

004E47AB|> \837D F4 00    cmp   dword ptr , 0         //关键比较
004E47AF|.0F84 F0000000 je      004E48A5                     //一跳就回家
004E47B5|.68 01000000   push    1
004E47BA|.E8 601E0000   call    004E661F
004E47BF|.68 01000100   push    10001
004E47C4|.68 00000106   push    6010000
004E47C9|.68 01000152   push    52010001
004E47CE|.68 01000000   push    1
004E47D3|.BB 5C030000   mov   ebx, 35C
004E47D8|.E8 38AD0000   call    004EF515
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
004E47AB|> \837D F4 00    cmp   dword ptr , 0               //0 改 1

保存文件,,,运行....提示出错......看来还有校验...

OD载入保证刚才的断点有效.....

断下后

根据字符串查找.....


6个 警告


004E73ED   /0F84 45000000   je      004E7438               //改JMP

004E7466   /0F84 45000000   je      004E74B1               //改JMP

004E74DF   /0F84 45000000   je      004E752A               //改jmp

004E7558   /0F84 45000000   je      004E75A3               //改JMP

004E75D1   /0F84 45000000   je      004E761C               //改JMP

004E764A   /0F84 45000000   je      004E7695               //改JMP



最后

把桌面上的"tem.vbs"   删除

运行

OK成功

查看完整版本: 给大家发个脱壳去校验的练习吧，