TEP3.8
今天又见到新版的测漏了 {:301_997:},发个简单的测试。J & S 两位师傅就不要来了,提前知道你们秒杀 {:301_1008:}叫我发帖的情何以堪 {:301_972:}
没有用它来保护内部函数 ,也没有混淆OEP( 减轻一下对刚接触朋友的难度 ) 不得不说,它和 TMD & SE & vmp 等一线的猛壳还是有差距
我现在最困惑的是如何快捷的还原被VM保护的函数,数量少可以手动还原,NM 的几十个函数被保护,我就只有补区段了。。(这样体积很大)
真的不好意思坐沙发啊,因为楼主说的…… 我是浮云,我是菜鸟。。 上面的注明错了,一不小心把入口也保护了(壳默认,记得以前版本好像不是这样的) 现在的Tep在3.7以后 默认保护会处理入口的。
tep vm不是可以直接还原吗?LCG内部有JJ啊 本帖最后由 mycc 于 2012-8-6 16:30 编辑
刚才又摆了一次乌龙,OEP 没加密,这个例子非常好脱,练手不错
有时候大家会想说,你怎么老是发些比较猛的壳,我只能说,现在外面都是风大雨大,没有提前锻炼好身体,你怎么去面对
其实我也可以写些cm神马的,只是太变态了,也不好,不变态嘛,强度有不行,总不能搞个 MD5 要你逆向啊。。我也郁闷啊。。。
找OEP倒是蛮简单的
本帖最后由 mycc 于 2012-8-7 18:56 编辑
zeif 发表于 2012-8-7 13:39 static/image/common/back.gif
找OEP倒是蛮简单的
这个例子保护的比较简单,普及一下大家动手嘛。。。。,脱出了就放上来吧,这个可以不补区段的
随便说说,在很多一线的猛壳里,到了 OEP 才是脱壳的入门,甚至修复好 IAT 才是战斗的初始热身阶段(后面有这一堆困难等着你)
TEP 属于 中级的 加密壳 ,修复起来令人有舒畅的感觉,远没有 SEtmd那些变态的 SDK 让你烦躁
主要修复call dowrd ptr 被抽调到了壳申请的内存
jmp dword ptr 同上
mov reg,dword ptr 被干掉
还有,不要简单的用 UIF 修复,如果没有把握,请用你的脚本修正,不然的话,呵呵,无法跨平台的哦。。。。。。( 凡事还得靠自己哦 。。。)
本帖最后由 mycc 于 2012-8-12 11:01 编辑
自己动手分析,乐趣在其中。。。。。。。。。
放上脱壳脚本。。。。。。。。。。修改一下可以通用的,tep 难度较低,脚本无法修复被对指定函数做保护的例子
(不过那也就是补区段的事,关键的东西基本都在这里了)
在这个例子里,把 IAT 定位 405000 比较好(其它例子也最好覆盖它原 IAT 处,这个修复出来和原 IAT 不同了 ) 本帖最后由 mycc 于 2012-8-12 14:18 编辑
师傅又笑我了
还有:
用的是WIN7 脱壳,故此在搜索 API 时候有点针对,XP 下要把开头的地方
GPA "VirtualProtectEx","kernel32.dll"
MOV tmp3,$RESULT
add tmp3,6
cmp ,#e9#,1
jnz win_xp
gci tmp3,DESTINATION // 获取跳转地址
gci $RESULT,DESTINATION
mov tmp3,$RESULT
add temp3,2
bp tmp3
jmp next_3
win_xp:
mov tmp3,$RESULT
add tmp3,2
bp tmp3
next_3: 注意刚才 next_1 错了,修改为 next_3
页:
[1]