设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools飘云阁工具包(已更新第4季)
12下一页
返回列表 发新帖
查看: 4730|回复: 13

[讨论中..] 初破ExeCryptor 2.XX 笔记

[复制链接]
brantjun

该用户从未签到
发表于 2007-9-12 16:09:00 | 显示全部楼层 |阅读模式
天天ASP,UPX做了N多了,今天换手,来试试ExeCryptor,呵呵.
首先看了很多大大的破文.收获颇多。但还有很多没搞清楚的。还请各位大大指点:loveliness:

首先按老规矩,OD载入,停系统断点。


运行ByPass AntiDBG OEP 1.1 成功完成,如下图

伪OPE  00731BBA

接下来,解密IAT
1.Ctrl+G:401000,新建EIP
2.确定加密IAT表地址:LordPE查看区段表

虚拟偏移:229000+400000=629000
在数据框内确定IAT表开始和结束位置。
00629AA0  00000000                                  IAT 开始
00629AA4  770F4880  oleaut32.SysFreeString
00629AA8  771244AD  oleaut32.SysReAllocStringLen
00629AAC  770F4BA7  oleaut32.SysAllocStringLen
00629AB0  00000000
00629AB4  00630C8E  Main.00630C8E
00629AB8  0063A6D2  Main.0063A6D2
00629ABC  007354F8  Main.007354F8
00629AC0  00000000
00629AC4  0064586B  Main.0064586B
00629AC8  0062F651  Main.0062F651
00629ACC  0073663A  ASCII "QhN3r"
。。。。。。。。。。。。。。。。。。
。。。。。。。。。。。。。。。。。。
0062A350  71A24519  WS2_32.ioctlsocket
0062A354  71A22BF4  WS2_32.inet_addr
0062A358  71A22B66  WS2_32.ntohs
0062A35C  71A2406A  WS2_32.connect
0062A360  71A29639  WS2_32.closesocket
0062A364  00000000
0062A368  770FAB11  oleaut32.SafeArrayCreate
0062A36C  770FABCC  oleaut32.SafeArrayPtrOfIndex
0062A370  770FACF5  oleaut32.SafeArrayPutElement
0062A374  770FAC4F  oleaut32.SafeArrayGetElement
0062A378  00000000                                 IAT 结束

3.运行IAT Rebuilder PE-Kill脚本,
IAT解密完成。

4.用PETools转存为:dumped.exe
用importREC,OEP=0331BBA  RVA=00229AA4
保存为dumped_.exe
修复转存结束。

5.还原TLS:(这里还是不清楚哦)
先确定原来TLS表地址:0022E000,
修改TLS表如图

(感觉这里好像不对。)

6.修复OEP
OD载入dumped_.exe
出错



请问大大,我是在那里出了错???

[ 本帖最后由 brantjun 于 2007-9-13 08:49 编辑 ]
ExeCryptor, 笔记

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?加入我们

x

相关帖子

PYG19周年生日快乐!
回复

使用道具 举报

machenglin
  • TA的每日心情
    开心
    2022-11-22 20:08

    • 签到天数: 2 天

    [LV.1]初来乍到
    发表于 2007-9-12 22:25:21 | 显示全部楼层
    OEP=0331BBS//????
    RVA=29aa4 //????
    FOEP=00331BBA
    RVA=00229AA4
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    yingfeng
  • TA的每日心情
    慵懒
    2019-2-17 18:27

    • 签到天数: 33 天

    [LV.5]常住居民I
    发表于 2007-9-12 22:28:33 | 显示全部楼层
    还没有脱过ExeCryptor 2.X这壳.呵呵
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    brantjun

    该用户从未签到
     楼主| 发表于 2007-9-13 08:43:00 | 显示全部楼层

    回复 2# 的帖子

    machenglin大大,不好意思,是笔误:
    OEP=00331BBA
    RVA=00229AA4

    不过再往下,就感觉不对劲了,可又不知道是那里出了错?
    还请大大指点!

    [ 本帖最后由 brantjun 于 2007-9-13 08:48 编辑 ]
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    machenglin
  • TA的每日心情
    开心
    2022-11-22 20:08

    • 签到天数: 2 天

    [LV.1]初来乍到
    发表于 2007-9-13 10:58:14 | 显示全部楼层
    1、给出连接地址。
    2、换另一OD测试。
    3、清除所有断点、UDD。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    brantjun

    该用户从未签到
     楼主| 发表于 2007-9-13 11:54:33 | 显示全部楼层
    已经清除所有断点,UDD。
    根据大大的经典破文:http://www.0wei.com/viewthread.p ... ighlight=execryptor
    用里面的 神机妙算钢筋 v8.7练手,脚本都无法根下去。

    后换一个手头上有的EXE加密壳,脚本可以过,呵呵,还不清楚是那里问题
    加密文件:http://www.lucoralmfr.com/123/main.rar
    大大能否PM我你的QQ?呵呵
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    machenglin
  • TA的每日心情
    开心
    2022-11-22 20:08

    • 签到天数: 2 天

    [LV.1]初来乍到
    发表于 2007-9-13 13:40:10 | 显示全部楼层
    要装的东西太多了,放弃。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    xhn1002

    该用户从未签到
    发表于 2007-9-13 18:40:46 | 显示全部楼层
    没脱过这样的壳。。
    这个月在实习 没带自己的本子出来
    等国庆 脱了看看
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    brantjun

    该用户从未签到
     楼主| 发表于 2007-9-14 00:30:34 | 显示全部楼层
    晕,看来会这种壳的确比较难脱。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    machenglin
  • TA的每日心情
    开心
    2022-11-22 20:08

    • 签到天数: 2 天

    [LV.1]初来乍到
    发表于 2007-9-14 11:50:52 | 显示全部楼层
    脱壳后可以运行,需要gds32.dll文件。
    貌似OEP被VM了。

    [ 本帖最后由 machenglin 于 2007-9-14 11:52 编辑 ]

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有账号?加入我们

    x
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    下一页 »
    12下一页
    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表