网站 › 『脱壳破解区』 › 脱CRYPToCRACk's PE Protector V0.9.3

feifeiyu 发表于 2008-8-28 13:07

脱CRYPToCRACk's PE Protector V0.9.3

首先查壳.

这个壳由于有IAT加密..我们需要改下地方.不然到后面可修复不了哦..
00413338893C8Amov dword ptr ds:,edi
0041333B807F 05 55cmp byte ptr ds:,55
0041333F73 0C jnb short Crypto_0.0041334D
004133412B47 01 sub eax,dword ptr ds:
edi存储的是加密Call的地址 eax存储的是正确的IAT地址
即修改为00413338893C8Amov dword ptr ds:,eax //这样就OK啦..
下面将三种简单的脱壳修复方法. PS：（..先隐藏OD 隐藏标题）
方法一:内存镜像法

OD 载入后首先停在这..ALT+M .rsrc 下断（F2）. 即如下图

然后F9运行，来到这里

继续ALT+M 选中 .text 下断 （F2） F9运行 之后就到OEP了.

不关OD 打开LOADPE 选中程序 完整脱壳.

feifeiyu 发表于 2008-8-28 13:07

继续上面 ImportREC修复....修复如下图 OEP是10CC >IAT自动搜索>获取输入表
>没有无效的 > 然后修理DUMP

方法二:“SFX”法.打开OD ALT+O 调试设置.

之后载入程序. 耐心等待 ....过几分钟后程序会自动到达OEP处.

修复程序跟上述一样,我就不再重复了...

方法三：脚本脱壳.
载入程序..运行脚本..即如下图


运行之后结果如下..

同样的修复方法...我也就不再重复了....

feifeiyu 发表于 2008-8-28 13:08

方法三 貌似有点不可行...载入的必须是原文件..
脚本虽然能到OEP确无法修复...我看了修改IAT那里 运行脚本之后就会被NOP掉...

最后附上脚本及脱壳后的程序..

因为不是很懂（其实根本不懂啦 - -!）..借助了优化工具..

XuZhenG 发表于 2008-8-28 14:06

很不错了
如果能减肥到 78KB以下

+1威望 并将此帖加入精华！

ximo 发表于 2008-8-28 14:22

呵呵,其实方法都是换汤不换药,最主要的IAT加密没有分析出来,只是一笔带过了,至于找OEP,那是非常简单的,没必要在多种方法上太多纠缠.
其次,发现新来的斑竹比较注重脱壳会文件的优化,呵呵,不过发现这样的进度是不是快了,因为这里新手居多,真正会分析壳的人还是比较少的,还有真正明白PE结构的人也很少,因此减肥无从谈起.大部分的人可能还是在用PE优化工具或者重建吧,还是建议放慢脚步,先带他们学会分析壳,带他们理解PE格式,再来减肥,可能效果会更好,如果一味的追求文件的减肥,可能效果会适得其反.
当然,新来的斑竹相当热情,好想跟你学习下脱壳技术,可惜,29号就要回学校了.哎..可怜的我

XuZhenG 发表于 2008-8-28 14:34

引用第4楼ximo于2008-08-28 14:22发表的:
呵呵,其实方法都是换汤不换药,最主要的IAT加密没有分析出来,只是一笔带过了,至于找OEP,那是非常简单的,没必要在多种方法上太多纠缠.
其次,发现新来的斑竹比较注重脱壳会文件的优化,呵呵,不过发现这样的进度是不是快了,因为这里新手居多,真正会分析壳的人还是比较少的,还有真正明白PE结构的人也很少,因此减肥无从谈起.大部分的人可能还是在用PE优化工具或者重建吧,还是建议放慢脚步,先带他们学会分析壳,带他们理解PE格式,再来减肥,可能效果会更好,如果一味的追求文件的减肥,可能效果会适得其反.
当然,新来的斑竹相当热情,好想跟你学习下脱壳技术,可惜,29号就要回学校了.哎..可怜的我

呵呵一样要上学

就挂几天的斑竹（好长时间不当斑竹，有怀旧的感觉...）

feifeiyu 发表于 2008-8-28 15:43

引用第4楼ximo于2008-08-28 14:22发表的:
呵呵,其实方法都是换汤不换药,最主要的IAT加密没有分析出来,只是一笔带过了,至于找OEP,那是非常简单的,没必要在多种方法上太多纠缠.
其次,发现新来的斑竹比较注重脱壳会文件的优化,呵呵,不过发现这样的进度是不是快了,因为这里新手居多,真正会分析壳的人还是比较少的,还有真正明白PE结构的人也很少,因此减肥无从谈起.大部分的人可能还是在用PE优化工具或者重建吧,还是建议放慢脚步,先带他们学会分析壳,带他们理解PE格式,再来减肥,可能效果会更好,如果一味的追求文件的减肥,可能效果会适得其反.
当然,新来的斑竹相当热情,好想跟你学习下脱壳技术,可惜,29号就要回学校了.哎..可怜的我

ximo说的对啊..因为是新手..一般都到脱壳后就结束了..优化 不懂... 学习...到真正懂得时候 不再靠工具..自己动手 丰衣足食.

还有 对新上任的版主 恭喜 恭喜哦....呵呵···

还有哈...貌似我们学校开学比较晚...嘿嘿.....到9月15号才去学校..16号才上课呢........开心啊。。。趁时间富裕再多学点..

蚊香 发表于 2008-8-28 16:30

此帖多大牛出没~~~ 先进来沾点光再看~~~
图片加载有点慢 机器垃圾~~~~~~~~~~

shsww 发表于 2008-8-28 17:02

如何减肥啊?没有写出来啊!期待..

telive 发表于 2008-8-29 13:07

好久不来论坛了，，，现在看帖都看不懂了。。。。

查看完整版本: 脱CRYPToCRACk's PE Protector V0.9.3