不用Import REC 脱壳 之(三)ScPack0.2.1篇
本帖最后由 qifeon 于 2010-9-20 17:46 编辑【文章标题】: 不用Import REC 脱壳 之(三)ScPack0.2.1篇
【文章作者】: qifeon
【使用工具】: OD、LordPE、
【操作平台】: Windows xp sp2
【作者声明】: 菜鸟初学脱壳,失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
无聊逛论坛,看到http://www.unpack.cn/thread-56249-1-1.html davis7牛转发的一个新的压缩壳ScPack0.2.1
壳的兼容性很差,delphi写的,加不了dephi程序,asm和vc可以,但加壳后图标没了。怀疑是资源加密把图标等不该
加密的也一道加密了。难怪资源处理软件是看不到了~~~~~0.20在我这根本无法使用,加壳后运行错误,提示不是有效
的PE32程序。汉化时把 keep overlay 翻译为压缩壳很简单“保持覆盖”,愣没看懂啥功能,看了原版才知道~~~~
今天用这个压缩壳学习下fly老大的经典理论:脱壳的最佳时机
问题:何谓脱壳的最佳时机?
解答:手动脱壳理想的最佳dump时机是指壳已经把程序代码包括资源等数据全部解密、输入表等数据还原但还未填充系统函数地址、DLL则还未重定位,此时dump出来的文件只需修正OEP、ImportTableRVA等信息即可正常运行完成脱壳。
答者:fly
日期:2008.01.23
━━━━━━━━━━━━━━━━━━━━━━━━━━
OD载入程序,停在这里
00413000 > $55 push ebp
00413001 .8BEC mov ebp, esp
00413003 .83C4 D8 add esp, -28
00413006 .53 push ebx
00413007 .56 push esi
00413008 .57 push edi
00413009 .8D7D 08 lea edi, dword ptr
0041300C .50 push eax
0041300D .E8 00000000 call 00413012
00413012 $58 pop eax
00413013 .25 00F0FFFF and eax, FFFFF000
代码不多,一直单步下
004130C1 .8955 F0 mov dword ptr , edx
004130C4 .8B45 10 mov eax, dword ptr
004130C7 .50 push eax
004130C8 .8B45 EC mov eax, dword ptr
004130CB .50 push eax
004130CC .56 push esi
004130CD .E8 8A000000 call 0041315C ;解压CALL
004130D2 .59 pop ecx ;
004130D3 .0375 F0 add esi, dword ptr
004130D6 .8307 08 add dword ptr , 8
004130D9 .66:FFCB dec bx
004130DC .^ 75 D9 jnz short 004130B7 ;循环解码
004130DE >8B7D E8 mov edi, dword ptr ;这里F4
直接在004130DE处F4,然后到401000处拉拉看
无法发全,原因未知,完整脱文放附件里。 这个壳我简单的跟了一下
感觉loader跟加密解密三上的PE-Armor几乎一模一样
而且功能也弱化了,兼容几乎跟我的SqunGuard一样垃圾 数据发送好像会造成dz识别出错,然后就不能显示了. 正缺这方面的知识,谢谢分享… 感觉上还是可以的壳 来学习了。。多谢LZ 谢谢分享很不错 LZ强大 学习ING 学习一下。支持了。:victory: 看不懂,但是很想学,顶一下吧
页:
[1]
2