吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6868|回复: 4
收起左侧

[第二届(2010)] 【参赛】手脱RLpack 1.21 full edition

[复制链接]
2666fff 发表于 2010-6-28 19:23
RLpack 1.21 是我最近碰到的一个壳,网上几乎没教程,完整点的只有xuzheng,跟faint88两位大大的脱文,
为方便比我还菜的小鸟,就做了这个视频。
包含RLpack 1.21 anti、变形代码,IAT加密处理 以及 stolencode oep的修复。
脱壳一半时间,处理oep的stolencode又花了一段时间。。擦。
感谢诸位前辈厚实的肩膀,才令我等有触摸浩瀚星空的机会。

PS. 学生要拜师,有哪位大大肯收?


下载地址:        录像.rar ----千脑

--------------记录--------------------------
做个RLpack 1.21完整版 全保护的视频。

先加壳,高级输入表重定向这个E语言程序不能选,选了就打不开,不知为何。

两个aspack区段,其实是fakesign。

开始用F7,或者esp都行。
点错了,点成F9了⊙﹏⊙b汗。

这个Je跳了的话,后面的anti2就可以直接过。
这里两个选项就是变形代码。
这就是刚才说的anti2,也是rlpack的主anti,这里过不去就会出现
警告框。
这个加密call里面有很多东西,我就不细说了。
这个je下面便是虚拟机vm的jmp,这个视频只讲脱壳,不说虚拟机这些。

恐怖的stolencode,本来如果想要去找,可以从虚拟机里面慢慢分析出来,
但是,我们为了节省时间,就用捷径补oep。
当然,前提是要对易语言的入口特征非常熟悉!
易语言用的是vc++的link,所以用他的主程序看看。
有些多,不过没关系,这比慢慢分析快多了。

先看getversion这里吧,7C8111EA是他的数值,反过来就是
EA11817C这是我们用来找的。
00465198  7C8111EA  kernel32.GetVersion
这里就是对应的getversion,简单吧。

搜这句吧,看起来比较有特点
cmp     dword ptr [esp+8], eax


0044AC76   .  33C0          xor eax,eax

0044AC76
这个地址看来就是8了。
刚弄错了,擦。。

1跟2 要看堆栈
我们刚才改了带壳的代码,所以找不到了。
再重新开一个od,不改代码。

0012FFB4   0044ACDC  SE处理程序
0012FFB8   0046C238  test.0046C238


0044ACDC  --2
0046C238  --1
这两个就该是了

4567这4个是有关系的。
看这里的值。
看出来了吧。

终于补完了,我算术不好。。

ok了该loadpe,跟IR上场了。


终于完成了,这个壳我觉得还是一个很好的壳,ap0x大哥真不是盖得。

教程结束,谢谢收看。

by: 2666fff
---------------------------------------

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

77413036 发表于 2010-6-28 19:37
强力沙发,
支持下。又有作品了。。
太虚伪了 发表于 2010-6-28 19:38
头像被屏蔽
yasas 发表于 2010-6-28 19:57
gltglt001 发表于 2010-6-28 22:36
顶你。2666fff 我只为技术。。。。。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:24

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表