UNPACKME (掘北压缩）

zapline · 发表于 2008-10-2 13:26

UNPACKME (掘北压缩）

apzp000 · 发表于 2008-10-2 14:02

[s:38][s:38][s:38] 怎么会这样

zapline · 发表于 2008-10-2 14:04

自己把计算器加了这个壳
结果自己搞不了

小生我怕怕 · 发表于 2008-10-2 14:12

这个壳不难,而且脱主程序也不难,只是你加坏啦程序,等下群里我给你讲解下!

夜冷风 · 发表于 2008-10-2 14:29

小生说的对.程序加坏了
一个例子自己参考下吧!

----------------------------------------------------------------------------
00401000 >68 2D094100 push 复件_(2).0041092D
00401005E8 01000000 call 复件_(2).0040100B (ESP定律+F9运行)
0040100AC3retn
0040100BC3retn
0040100C60pushad
0040100D8B7424 24 mov esi,dword ptr ss:[esp+24]
004010118B7C24 28 mov edi,dword ptr ss:[esp+28]
00401015FCcld
00401016B2 80 mov dl,80
0040101833DBxor ebx,ebx

-------------------------------------------------

0041092DB8 3F090100 mov eax,1093F; 单步+删除硬件断点
00410932BA 00004000 mov edx,复件_(2).00400000
0041093703C2add eax,edx
00410939FFE0jmp eax
0041093BB1 15 mov cl,15
0041093D0000add byte ptr ds:[eax],al
0041093F60pushad
00410940E8 00000000 call 复件_(2).00410945 ; esp定律+F9运行

--------------------------------------------------

跳回0041092DB8 3F090100 mov eax,1093F

0041092DB8 28110000 mov eax,1128
00410932BA 00004000 mov edx,复件_(2).00400000
0041093703C2add eax,edx
00410939- FFE0jmp eax; 复件_(2).00401128(跳转OEP)

------------------------------------------------

0040112868 2CC34000 push 复件_(2).0040C32C ; open地址
0040112DE8 F0FFFFFF call 复件_(2).00401122 ; jmp 到 MSVBVM60.ThunRTMain
004011320000add byte ptr ds:[eax],al
004011340000add byte ptr ds:[eax],al
004011360000add byte ptr ds:[eax],al
004011383000xor byte ptr ds:[eax],al

---------------------------------------------------

脱壳脚本.

//======================================================
// FileName : KByS V0.28
// Environment : WinXP SP2 Notepad
// Author :xxxxx
// WebSite : http://www.52pojie.cn
//======================================================
var addr
sto
mov addr,esp
bphws addr,"r"
run
BPHWC addr
sto
sto
sto
sto
sto
mov addr,esp
bphws addr,"r"
run
BPHWC addr
sto
sto
sto
sto
cmt eip, "恭喜到达OEP地址. "
msg "已经成功到达OEP"

[s:43]

shaopeng · 发表于 2008-10-2 15:13

忽忽，支持一个，学习了。。

小生我怕怕 · 发表于 2008-10-2 15:29

//////////////////////////////////////////////////////////////////////////////////////////////////////
/// KByS V0.28脱壳脚本 ///
/// by 小生我怕怕QQ：4586631 ///
/// 2008.7.25///
///////////////////////////////////////////////////////////////////////////////////////////////////////
var addr//定义一个变量addr
sti //单步f7
sti //单步f7
sti //单步f7
sto//单步f8
sto//单步f8
sto//单步f8
sto//单步f8
sto
sto //单步f8
mov addr,esp //把此处ESP的地址给变量addr
bphws addr,"r"//下硬件读取断点，也就是硬件访问断点
run //运行，也就是F9
BPHWC addr//取消断点
sto//单步f8
sto//单步f8
sto//单步f8
sto//单步f8
cmt eip,"友情提示：这里就是OEP！" //在EIP处，也就是现在OD停留了位置加注释
MSG "感谢使用此脚本，现在可以脱壳了"//加个对话框，给出一些提示信息
ret //结束脚本

这个是我刚写的掘北的脱壳脚本,是根据冷风兄提供的此程序编写的!

莱沙 · 发表于 2008-10-2 16:18

都是高手啊！个个都会写脚本！就我不会汗！ [s:41][s:41][s:41]

冷剑少侠 · 发表于 2009-5-10 20:23

好好好好好好好好好好

avzhongjiezhe · 发表于 2010-2-18 11:12

打不开啊

帐号		自动登录	找回密码
密码			注册[Register]

UNPACKME (掘北压缩）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源