设为首页收藏本站

 找回密码
 注册
搜索
热搜: 回贴
微赢网络技术论坛 门户 安全攻防 加密解密 查看内容

Execryptor加壳的MultiTranse 4.1.1 ,加壳,脱壳技术

2010-1-30 18:22| 发布者: admin| 查看: 75| 评论: 0|原作者: 柳梦璃


Execryptor加壳的MultiTranse 4.1.1 ,加壳,脱壳技术
2008年06月23日 星期一 下午 06:02
脱壳软件:MultiTranse 4.1.1

下载地址:http://www.tialsoft.com/download/

软件说明:MultiTranse is a software that employs free online resources to translate to/from 13 different languages.

加壳方式:Execryptor 2.x

作者声明:只是感兴趣,失误之处请各位大侠指正。





一、用HidaOD隐藏好OLLYDBG_Execryptor(专门调试Execryptor的OD,见后面的链接),停在系统断点后,运行BypassAnti脚本,中间会有一些错误提示,按确定后再Shift F9跳过,脚本运行后停在这里:



代码:--------------------------------------------------------------------------------

006147C1 52 PUSH EDX ; MultiTra.006147C1

006147C2 8BD6 MOV EDX,ESI

006147C4 871424 XCHG DWORD PTR SS:[ESP],EDX

006147C7 BE 49EC5C00 MOV ESI,MultiTra.005CEC49

006147CC ^ E9 1672FEFF JMP MultiTra.005FB9E7

006147D1 C3 RETN

--------------------------------------------------------------------------------





此时到401000区段看一下,已经解码了,在401000区段下内存访问断点后断在这里

:



代码:--------------------------------------------------------------------------------

00552CF1 - E9 FE8E0A00 JMP MultiTra.005FBBF4

00552CF6 - E9 7D6D0D00 JMP MultiTra.00629A78

00552CFB - E9 C8E40C00 JMP MultiTra.006211C8

00552D00 - E9 565B0D00 JMP MultiTra.0062885B

00552D05 50 PUSH EAX

00552D06 871C24 XCHG DWORD PTR SS:[ESP],EBX

00552D09 E9 13000000 JMP MultiTra.00552D21

00552D0E DAFC FIDIVR ESP ; Illegal use of register

00552D10 4C DEC ESP

--------------------------------------------------------------------------------





可以DUMP了,根据入口处代码上下找一找,OEP被VM了,连蒙再猜的补上Stolen OEP的代码



代码:--------------------------------------------------------------------------------

005535E8 > $Content$nbsp; 55 PUSH EBP

005535E9 . 8BEC MOV EBP,ESP

005535EB . 83C4 F0 ADD ESP,-10

005535EE . 53 PUSH EBX

005535EF . 56 PUSH ESI

005535F0 . 57 PUSH EDI

005535F1 . B8 982F5500 MOV EAX,00552F98

005535F6 . E8 8937EBFF CALL 00406D84

--------------------------------------------------------------------------------







二、IAT

估计是新版本的Execryptor,IAT脚本不太好使,有些指针就用IM的Execryptor插件修复一下,再不行就只好下内存断点自己跟吧,总之弄了好半天才把IAT搞好。

三、

去掉无用的区段,修正TLS,把CODE基址改回1000,用LodePE简单优化一下。

里面有些VM搞不定,就直接跳过去了,简单的破解了一下,先用着吧,反正升级的快。




收藏 分享 邀请

最新评论

相关分类

QQ|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )

GMT+8, 2024-9-29 21:17 , Processed in 0.199561 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

返回顶部