【吾爱第三届动画大赛参赛作品】Scrambler变形壳+去效验
本帖最后由 Ruin 于 2013-2-4 23:46 编辑【本教程由吾爱破解动画区版权】2013 (C)
用到的工具:peid
od
lordpe
importREC
Scrambler变形壳+去效验 UPX变异
PS:没什么值得大家学习的 只有把常见的借用这次大赛分享给大家 让更多人学习 感谢各位师傅的栽培!
可利用API:bp CreateFileA
我们直接看看壳
载入OD看看壳头 是否和UPX相同
..........................................................................
//完全不一样
00CE6BEF > $90 nop
00CE6BF0 >61 popad
00CE6BF1 .BE 0060C600 mov esi,Hiddukel.00C66000
00CE6BF6 .8DBE 00B079FF lea edi,dword ptr ds:
00CE6BFC .57 push edi
00CE6BFD .83CD FF or ebp,-0x1
00CE6C00 .EB 10 jmp short Hiddukel.00CE6C12
00CE6C02 .EB 00 jmp short Hiddukel.00CE6C04
00CE6C04 >^ EB EA jmp short Hiddukel.00CE6BF0
00CE6C06 .^ EB E8 jmp short Hiddukel.00CE6BF0
...........................................................................
脱壳的方法有很多 主要是去效验 就用内存法脱一下 大家学习的脱壳方法有太多太多了
有连脱壳机也行-_-
我们可以利用一个最有智慧的办法去效验 就是 对比。
先脱壳修复 这里我就不多介绍了。
打开后就关闭了
对比下大小
未脱壳:537,600字节
脱壳:9,351m168字节
我们在开一个OD 对比 看看在哪他消失的
ALT+F9 往下走 对比
0041C08F 3D B8350800 cmp eax,0x835B8 十进制=未脱壳的文件大小
修改方法有很多 如改jg=jl 或者修改上面的IF 就是修改文件大小 把他扩大
3D0900
这样2种方法都能实现去掉退出的效验 文件大小对比
更多的思路各位师傅也可以教我.
bye
下载地址:(包含播放器)**** Hidden Message *****
我觉得我理RUIN大牛很近。。 支持了 , 回复学习了还有CB拿。{:1_918:} 一定支持好人 非常感谢,最近在研究脱壳,好难啊 学习下哈哈 还能得CB 赶紧下载学习呀~~~ 下载学习学习 感谢大牛发布教程。 ruin牛又霸气了 感谢发布教程 学习一下