TEP3.8

mycc

今天又见到新版的测漏了 ，发个简单的测试。J & S 两位师傅就不要来了，提前知道你们秒杀
叫我发帖的情何以堪

没有用它来保护内部函数 ，也没有混淆OEP（ 减轻一下对刚接触朋友的难度 ） 不得不说，它和 TMD & SE & vmp 等一线的猛壳还是有差距

我现在最困惑的是如何快捷的还原被VM保护的函数，数量少可以手动还原，NM 的几十个函数被保护，我就只有补区段了。。（这样体积很大）

可乐煎饼

真的不好意思坐沙发啊，因为楼主说的…… 我是浮云，我是菜鸟。。

mycc

上面的注明错了，一不小心把入口也保护了（壳默认，记得以前版本好像不是这样的）

Sound

现在的Tep在3.7以后 默认保护会处理入口的。

Hmily

tep vm不是可以直接还原吗?LCG内部有JJ啊

mycc

刚才又摆了一次乌龙，OEP 没加密，这个例子非常好脱，练手不错

有时候大家会想说，你怎么老是发些比较猛的壳，我只能说，现在外面都是风大雨大，没有提前锻炼好身体，你怎么去面对

其实我也可以写些cm神马的，只是太变态了，也不好，不变态嘛，强度有不行，总不能搞个 MD5 要你逆向啊。。我也郁闷啊。。。

zeif

找OEP倒是蛮简单的

mycc

zeif 发表于 2012-8-7 13:39
找OEP倒是蛮简单的

这个例子保护的比较简单，普及一下大家动手嘛。。。。，脱出了就放上来吧，这个可以不补区段的

随便说说，在很多一线的猛壳里，到了 OEP 才是脱壳的入门，甚至修复好 IAT 才是战斗的初始热身阶段（后面有这一堆困难等着你）

TEP 属于 中级的 加密壳 ，修复起来令人有舒畅的感觉，远没有 SE  tmd  那些变态的 SDK 让你烦躁

主要修复  call dowrd ptr[xxxxxx]       被抽调到了壳申请的内存
               jmp dword ptr[xxxxxx]      同上
               mov reg,dword ptr[iat]       被干掉                    

还有，不要简单的用 UIF 修复，如果没有把握，请用你的脚本修正，不然的话，呵呵，无法跨平台的哦。。。。。。( 凡事还得靠自己哦 。。。）

mycc

自己动手分析，乐趣在其中。。。。。。。。。

放上脱壳脚本。。。。。。。。。。修改一下可以通用的，tep 难度较低，脚本无法修复被对指定函数做保护的例子
（不过那也就是补区段的事，关键的东西基本都在这里了）

在这个例子里，把 IAT 定位 405000 比较好（其它例子也最好覆盖它原 IAT 处，这个修复出来和原 IAT 不同了 ）

mycc

师傅又笑我了

还有：


用的是  WIN7 脱壳，故此在搜索 API 时候有点针对，XP 下要把开头的地方


GPA "VirtualProtectEx","kernel32.dll"
MOV tmp3,$RESULT
add tmp3,6
cmp [tmp3],#e9#,1
jnz win_xp

gci tmp3,DESTINATION   // 获取跳转地址
gci $RESULT,DESTINATION
mov tmp3,$RESULT


add temp3,2
bp tmp3
jmp next_3

win_xp:
mov tmp3,$RESULT
add tmp3,2
bp tmp3

next_3:              注意刚才 next_1 错了，修改为 next_3