给大家发个脱壳去校验的练习吧，

kkbblzq

是我朋友写的论坛挂机精灵，不过嘛，他只是写了浏览器的部分，只是为了测试防脱壳的校验，本身没注册功能，除浏览器部分其他都属于空壳，只是练手用。别当软件了，据说7层保护校验。- -也不知道他怎么想的。。下载地址：7层保护.rar

小生我怕怕

看图标应该没有问题吧!
解决掉的在下面!
没有7层保护

ximo

强壳+多层校验?
不想多评价什么.
无论怎样,易语言总归还是易语言

[ 本帖最后由 ximo 于 2008-11-17 13:18 编辑 ]

kkbblzq

真是麻烦东西，弄完启动自己生成VBS脚本自己删除脱壳文件- -，汗

x80x88

上面两头大牛啊[s:364] ,我路过看看,顺便膜拜下[s:354]

莱沙

呵呵！两大壳神在斗牛，我等观战就好了！;P ;P ;P

夜冷风

易语言加在多壳 感觉没有啥用!!
况且楼上那2大壳神!!我们只有参拜的份!!;P ;P ;P

小糊涂虫

3楼  4楼的果然厉害............................

zeger

这个似乎不难~~
是易语言写的，脱壳后，验证的几处jmp过，OK了

jmzhwf

yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *

提示附加数据

脱壳开始:

OD载入程序~~

F8两次

下hr esp 硬件断点

F9运行.......F8两次,来到OEP

Lordpe 脱壳...


IR修复...抓取~~

工具overlay处理附加数据

运行程序...

没有反应并自动删除程序..有自校验...

OD载入....下bp ExitProcess 退出断点

提示错误 并在桌面出现tem.vbs

看来这是个脚本文件:

  Dim fso
  Set fso = CreateObject("Scripting.FileSystemObject")
  fso.DeleteFile("C:\Documents and Settings\Administrator\桌面\复件 dumped_.exe")
  fso.DeleteFile("C:\Documents and Settings\Administrator\桌面\tem.vbs")

原来是脚本删除,清空内容.把tem.vbs属性设为只读..方便下次测试..

回到OD

堆栈:0012FA88  |004E789B  返回到 复件_dum.004E789B 来自 复件_dum.004EF4DF

反汇编窗口跟随

向上来到段首

004E76B6  /$  55            push    ebp
004E76B7  |.  8BEC          mov     ebp, esp
004E76B9  |.  81EC 18000000 sub     esp, 18
004E76BF  |.  C745 FC 00000>mov     dword ptr [ebp-4], 0
004E76C6  |.  C745 F8 00000>mov     dword ptr [ebp-8], 0
004E76CD  |.  68 00000000   push    0

下断......重新来过...

断下来后,,堆栈:

0012FAAC   004E48AA  返回到 复件_dum.004E48AA 来自 复件_dum.004E76B6

反汇编窗口跟随

看不懂,,,没问题..分析一下代码就可以了

004E48A5  |> \E8 0C2E0000   call    004E76B6

向上找到跳转处

004E47AB  |> \837D F4 00    cmp     dword ptr [ebp-C], 0         //关键比较
004E47AF  |.  0F84 F0000000 je      004E48A5                     //一跳就回家
004E47B5  |.  68 01000000   push    1
004E47BA  |.  E8 601E0000   call    004E661F
004E47BF  |.  68 01000100   push    10001
004E47C4  |.  68 00000106   push    6010000
004E47C9  |.  68 01000152   push    52010001
004E47CE  |.  68 01000000   push    1
004E47D3  |.  BB 5C030000   mov     ebx, 35C
004E47D8  |.  E8 38AD0000   call    004EF515
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
004E47AB  |> \837D F4 00    cmp     dword ptr [ebp-C], 0               //0 改 1

保存文件,,,运行....提示出错......看来还有校验...

OD载入  保证刚才的断点有效.....

断下后

根据字符串查找.....


6个 警告


004E73ED   /0F84 45000000   je      004E7438                 //改JMP

004E7466   /0F84 45000000   je      004E74B1                 //改JMP

004E74DF   /0F84 45000000   je      004E752A                 //改jmp

004E7558   /0F84 45000000   je      004E75A3                 //改JMP

004E75D1   /0F84 45000000   je      004E761C                 //改JMP

004E764A   /0F84 45000000   je      004E7695                 //改JMP



最后

把桌面上的"tem.vbs"   删除

运行

OK成功