吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9163|回复: 12
收起左侧

[原创] 脱CRYPToCRACk's PE Protector V0.9.3

[复制链接]
feifeiyu 发表于 2008-8-28 13:07
首先查壳.
1.JPG
这个壳由于有IAT加密..我们需要改下地方.不然到后面可修复不了哦..
00413338893C8Amov dword ptr ds:[edx+ecx*4],edi
0041333B807F 05 55cmp byte ptr ds:[edi+5],55
0041333F73 0C jnb short Crypto_0.0041334D
004133412B47 01 sub eax,dword ptr ds:[edi+1]
edi存储的是加密Call的地址 eax存储的是正确的IAT地址
即修改为00413338893C8Amov dword ptr ds:[edx+ecx*4],eax //这样就OK啦..
下面将三种简单的脱壳修复方法. PS:(..先隐藏OD 隐藏标题)
方法一:内存镜像法
2.JPG
OD 载入后首先停在这..ALT+M .rsrc 下断(F2). 即如下图
3.JPG
然后F9运行,来到这里
4.JPG
继续ALT+M 选中 .text 下断 (F2) F9运行 之后就到OEP了.
5.JPG
不关OD 打开LOADPE 选中程序 完整脱壳.

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| feifeiyu 发表于 2008-8-28 13:07
继续上面 ImportREC修复....修复如下图 OEP是10CC >IAT自动搜索>获取输入表
>没有无效的 > 然后修理DUMP
6.JPG
方法二:“SFX”法.打开OD ALT+O 调试设置.
7.JPG
之后载入程序. 耐心等待 ....过几分钟后程序会自动到达OEP处.
8.JPG
修复程序跟上述一样,我就不再重复了...

方法三:脚本脱壳.
载入程序..运行脚本..即如下图
9.JPG

运行之后结果如下..
10.JPG
同样的修复方法...我也就不再重复了....
 楼主| feifeiyu 发表于 2008-8-28 13:08
方法三 貌似有点不可行...载入的必须是原文件..
脚本虽然能到OEP确无法修复...我看了修改IAT那里 运行脚本之后就会被NOP掉...

最后附上脚本及脱壳后的程序..

因为不是很懂(其实根本不懂啦 - -!)..借助了优化工具..

dumped.rar

22 KB, 下载次数: 1, 下载积分: 吾爱币 -1 CB

s PE Protector V0[1].9.3.rar

3 KB, 下载次数: 5, 下载积分: 吾爱币 -1 CB

dumped.rar

22 KB, 下载次数: 0, 下载积分: 吾爱币 -1 CB

优化后

XuZhenG 发表于 2008-8-28 14:06
很不错了
如果能减肥到 78KB以下

+1威望 并将此帖加入精华!
ximo 发表于 2008-8-28 14:22
呵呵,其实方法都是换汤不换药,最主要的IAT加密没有分析出来,只是一笔带过了,至于找OEP,那是非常简单的,没必要在多种方法上太多纠缠.
其次,发现新来的斑竹比较注重脱壳会文件的优化,呵呵,不过发现这样的进度是不是快了,因为这里新手居多,真正会分析壳的人还是比较少的,还有真正明白PE结构的人也很少,因此减肥无从谈起.大部分的人可能还是在用PE优化工具或者重建吧,还是建议放慢脚步,先带他们学会分析壳,带他们理解PE格式,再来减肥,可能效果会更好,如果一味的追求文件的减肥,可能效果会适得其反.
当然,新来的斑竹相当热情,好想跟你学习下脱壳技术,可惜,29号就要回学校了.哎..可怜的我
XuZhenG 发表于 2008-8-28 14:34
引用第4楼ximo于2008-08-28 14:22发表的:
呵呵,其实方法都是换汤不换药,最主要的IAT加密没有分析出来,只是一笔带过了,至于找OEP,那是非常简单的,没必要在多种方法上太多纠缠.
其次,发现新来的斑竹比较注重脱壳会文件的优化,呵呵,不过发现这样的进度是不是快了,因为这里新手居多,真正会分析壳的人还是比较少的,还有真正明白PE结构的人也很少,因此减肥无从谈起.大部分的人可能还是在用PE优化工具或者重建吧,还是建议放慢脚步,先带他们学会分析壳,带他们理解PE格式,再来减肥,可能效果会更好,如果一味的追求文件的减肥,可能效果会适得其反.
当然,新来的斑竹相当热情,好想跟你学习下脱壳技术,可惜,29号就要回学校了.哎..可怜的我

呵呵一样要上学

就挂几天的斑竹(好长时间不当斑竹,有怀旧的感觉...)
 楼主| feifeiyu 发表于 2008-8-28 15:43
引用第4楼ximo于2008-08-28 14:22发表的:
呵呵,其实方法都是换汤不换药,最主要的IAT加密没有分析出来,只是一笔带过了,至于找OEP,那是非常简单的,没必要在多种方法上太多纠缠.
其次,发现新来的斑竹比较注重脱壳会文件的优化,呵呵,不过发现这样的进度是不是快了,因为这里新手居多,真正会分析壳的人还是比较少的,还有真正明白PE结构的人也很少,因此减肥无从谈起.大部分的人可能还是在用PE优化工具或者重建吧,还是建议放慢脚步,先带他们学会分析壳,带他们理解PE格式,再来减肥,可能效果会更好,如果一味的追求文件的减肥,可能效果会适得其反.
当然,新来的斑竹相当热情,好想跟你学习下脱壳技术,可惜,29号就要回学校了.哎..可怜的我

ximo说的对啊..因为是新手..一般都到脱壳后就结束了..优化 不懂... 学习...到真正懂得时候 不再靠工具..自己动手 丰衣足食.

还有 对新上任的版主 恭喜 恭喜哦....呵呵···[s:39]

还有哈...貌似我们学校开学比较晚...嘿嘿.....到9月15号才去学校..16号才上课呢........开心啊。。。趁时间富裕再多学点..
蚊香 发表于 2008-8-28 16:30
[s:43] 此帖多大牛出没~~~ 先进来沾点光再看~~~
图片加载有点慢 机器垃圾~~~~~~~~~~
shsww 发表于 2008-8-28 17:02
如何减肥啊?没有写出来啊!期待..
telive 发表于 2008-8-29 13:07
好久不来论坛了,,,现在看帖都看不懂了。。。。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 07:13

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表