新斑竹悬赏任务：初级保护壳之CryptO 0.93[已结束]

XuZhenG

任务目标：CRYPToCRACk's PE Protector V0.9.3 -> Lukas Fleischer (PEiD0.94 UserDB By [UnPacKcN]fly)

悬赏额度：视脱文质量而定（脱文+5 [高质量+10]学习笔记+8 脱壳文件优秀+1威望 全优者可以考虑加精 [奖励可以迭加]）
最先发者按上面的标准加分，后发者酌情减少加分额度。
（脱文请发至脱壳破解区主版）
保护方式：IAT变形

难度：低


任务要求：写出详细的学习笔记，并有创新的思路和方法者为佳。
发出脱壳文件综合学习笔记评分。 没有脱壳后文件者不给分。

脱壳文件优秀标准：没有额外输入表节，文件大小小于原加壳文件大小[难度：中]


[总结]

由于总斑竹已经 更厉害的优化了NotePad的脱壳程序(61KB)
所以我这里也发上来吧 62.5KB

这个问题到这里就算是结束了...

最后发出我的脱壳文件...

如果大家没有疑义的话，这个悬赏任务到此结束。

[结果]
18CB的奖金由feifeiyu获得，同时他的文章将被加入精华。
1威望奖金由于总斑竹未传文件领取，除斑竹外无人完成该项任务... 故不再发放。

最后
如果您对这个操作有不满的话，请跟帖说明。[本贴将在三天内被锁定]

zapline

下下来试试

[s:40][s:40] 我玩的第三种壳！

小生我怕怕

两步内存法脱壳,脱壳后运行ImpREC修复,,出现全部无效现象,不要怕在从新打开一次加壳的记事本,然后在从新运行ImpREC修复,选择等级跟踪三,直接全部修复!

XuZhenG

引用第2楼小生我怕怕于2008-08-28 00:53发表的:
两步内存法脱壳,脱壳后运行ImpREC修复,,出现全部无效现象,不要怕在从新打开一次加壳的记事本,然后在从新运行ImpREC修复,选择等级跟踪三,直接全部修复!

总斑竹 还是把这个留给新人吧...
都写了 难度：低 了
我就不给加分了...
还有其他更好的方法...
方法很多很多。

小生我怕怕

引用第3楼XzOsAPl于2008-08-28 00:58发表的:


总斑竹 还是把这个留给新人吧...
都写了 难度：低 了
我就不给加分了...
.......

呵呵,我只是引导新人开个好头!

zapline

引用第4楼小生我怕怕于2008-08-28 01:02发表的:

呵呵,我只是引导新人开个好头!

额！搞不定·~~~~
麻烦~~~~~~~

feifeiyu

修复还是不行.....汗那···

ximo

呵呵,这个IAT的加密变形简单了点,属于最基础的那种吧
00413338893C8Amov dword ptr ds:[edx+ecx*4],edi//edi改为eax即可
0041333B807F 05 55cmp byte ptr ds:[edi+5],55
0041333F73 0C jnb short Crypto_0.0041334D
004133412B47 01 sub eax,dword ptr ds:[edi+1]
00413344C747 05 81042400mov dword ptr ds:[edi+5],240481
0041334BEB 1E jmp short Crypto_0.0041336B
0041334D807F 05 AAcmp byte ptr ds:[edi+5],0AA
0041335173 0E jnb short Crypto_0.00413361

至于原理,就留给新手去跟吧,提示到此

feifeiyu

[upload=1]

引用第7楼ximo于2008-08-28 10:19发表的:
呵呵,这个IAT的加密变形简单了点,属于最基础的那种吧
00413338893C8Amov dword ptr ds:[edx+ecx*4],edi//edi改为eax即可
0041333B807F 05 55cmp byte ptr ds:[edi+5],55
0041333F73 0C jnb short Crypto_0.0041334D
004133412B47 01 sub eax,dword ptr ds:[edi+1]
.......

根据EDI改为EAX能成功修复...不懂原理的...菜菜 哦··学习.....
脱壳可用SFX·或者脚本也行....都可直接到达OEP...

XuZhenG

期待 feifeiyu 的学习笔记

改这个字节的方法 我在看雪和UnPacKcN上都有发布

希望新手能跟出为什么这样改可以避开加密

写出详细学习笔记者重奖！