Execryptor加壳的MultiTranse 4.1.1 ,加壳,脱壳技术 2008年06月23日 星期一 下午 06:02 脱壳软件:MultiTranse 4.1.1 下载地址:http://www.tialsoft.com/download/ 软件说明:MultiTranse is a software that employs free online resources to translate to/from 13 different languages. 加壳方式:Execryptor 2.x 作者声明:只是感兴趣,失误之处请各位大侠指正。 一、用HidaOD隐藏好OLLYDBG_Execryptor(专门调试Execryptor的OD,见后面的链接),停在系统断点后,运行BypassAnti脚本,中间会有一些错误提示,按确定后再Shift F9跳过,脚本运行后停在这里: 代码:-------------------------------------------------------------------------------- 006147C1 52 PUSH EDX ; MultiTra.006147C1 006147C2 8BD6 MOV EDX,ESI 006147C4 871424 XCHG DWORD PTR SS:[ESP],EDX 006147C7 BE 49EC5C00 MOV ESI,MultiTra.005CEC49 006147CC ^ E9 1672FEFF JMP MultiTra.005FB9E7 006147D1 C3 RETN -------------------------------------------------------------------------------- 此时到401000区段看一下,已经解码了,在401000区段下内存访问断点后断在这里 : 代码:-------------------------------------------------------------------------------- 00552CF1 - E9 FE8E0A00 JMP MultiTra.005FBBF4 00552CF6 - E9 7D6D0D00 JMP MultiTra.00629A78 00552CFB - E9 C8E40C00 JMP MultiTra.006211C8 00552D00 - E9 565B0D00 JMP MultiTra.0062885B 00552D05 50 PUSH EAX 00552D06 871C24 XCHG DWORD PTR SS:[ESP],EBX 00552D09 E9 13000000 JMP MultiTra.00552D21 00552D0E DAFC FIDIVR ESP ; Illegal use of register 00552D10 4C DEC ESP -------------------------------------------------------------------------------- 可以DUMP了,根据入口处代码上下找一找,OEP被VM了,连蒙再猜的补上Stolen OEP的代码 代码:-------------------------------------------------------------------------------- 005535E8 > $Content$nbsp; 55 PUSH EBP 005535E9 . 8BEC MOV EBP,ESP 005535EB . 83C4 F0 ADD ESP,-10 005535EE . 53 PUSH EBX 005535EF . 56 PUSH ESI 005535F0 . 57 PUSH EDI 005535F1 . B8 982F5500 MOV EAX,00552F98 005535F6 . E8 8937EBFF CALL 00406D84 -------------------------------------------------------------------------------- 二、IAT 估计是新版本的Execryptor,IAT脚本不太好使,有些指针就用IM的Execryptor插件修复一下,再不行就只好下内存断点自己跟吧,总之弄了好半天才把IAT搞好。 三、 去掉无用的区段,修正TLS,把CODE基址改回1000,用LodePE简单优化一下。 里面有些VM搞不定,就直接跳过去了,简单的破解了一下,先用着吧,反正升级的快。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 21:17 , Processed in 0.199561 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.