飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

楼主: glts

【PYG3周年庆典活动之一】脱壳竟赛第一章

 关闭 [复制链接]
  • TA的每日心情
    开心
    2022-9-25 11:58
  • 签到天数: 12 天

    [LV.3]偶尔看看II

    发表于 2007-12-4 19:10:50 | 显示全部楼层
    其实也不那么麻烦,直接用PYG那个LPK.dll中的例子文件pyg.dll替换这个压缩包中的相应文件,然后用脱壳机直接脱壳:loveliness:
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2007-12-4 23:19:11 | 显示全部楼层
    FSD?
    我在网上搜了一下,都是:FSD-INLINE-HOOK
    是不是就是inline hook???
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    昨天 21:58
  • 签到天数: 1461 天

    [LV.10]以坛为家III

    发表于 2007-12-5 14:03:15 | 显示全部楼层
    很好的活动,学习。。。
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2007-12-6 16:21:31 | 显示全部楼层
    学习学习~~~~~
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2007-12-10 20:03:13 | 显示全部楼层
    脱壳是很头疼的,哎
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2007-12-11 13:28:19 | 显示全部楼层
    不懂啊  换了个pyg.dll后 能到那个不知道是不是真的oep
    脱壳成功,然后peid扫描后现实的是另一不懂的东西
    然后用peid自带的脱壳扫描得到了正确的编写软件   但是却不能修复
    看来要学习的东西很多啊啊/:002
    PYG19周年生日快乐!
  • TA的每日心情
    开心
    2017-6-17 14:53
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2007-12-12 10:27:01 | 显示全部楼层
    怎么玩啊,有没有一步一步的教程啊,玩不来这个,郁闷
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2007-12-19 21:26:44 | 显示全部楼层
    刚下,好象没反映...
           有点乱...还是佩服LZ的厉害拉...羡慕```
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2007-12-26 16:35:31 | 显示全部楼层
    借鉴前面高人的脱壳过程,来个详细的,希望对新手有点帮助
    1.用OD载入1.exe,忽略所以异常,弹出一个Themida对话框,不理它,点ok,接着又弹出1.exe—Application Error错误对话框,继续点ok。
    2.这时OD提示出现异常,不理它,按F9,又出现一个压缩代码提示对话框,点NO后,OD停在壳入口
    00514000    90              nop
    00514001 >  60              pushad //<--停在这里
    00514002    E8 03000000     call    0051400A
    00514007  - E9 EB045D45     jmp     45AE44F7
    0051400C    55              push    ebp
    0051400D    C3              retn
    0051400E    E8 01000000     call    00514014
    3.按ALT+M,在代码段下访问断点(按F2)
    地址         大小       属主       区段       包含          类型   访问      初始访问  已映射为
    00401000   0008B000   1       SVKP      代码        Imag  R        RWE     <--在这行按F2   
    接着按F9,停在这里(0051475F)
    00514757    53              push    ebx
    00514758    BE F8FFFFFF     mov     esi, -8
    0051475D    8B02            mov     eax, dword ptr [edx]
    0051475F    8A18            mov     bl, byte ptr [eax]       //<--停在这里
    00514761    40              inc     eax
    00514762    885C24 0C       mov     byte ptr [esp+C], bl
    00514766    8902            mov     dword ptr [edx], eax
    4.同样,我们再按ALT+M,在数据段下访问断点(按F2)
    地址         大小       属主       区段       包含          类型   访问      初始访问  已映射为
    0048C000   00002000   1       SVKP      数据        Imag  R        RWE     <--在这行按F2   
    继续按F9,再次停在这里(0051475F)
    00514757    53              push    ebx
    00514758    BE F8FFFFFF     mov     esi, -8
    0051475D    8B02            mov     eax, dword ptr [edx]
    0051475F    8A18            mov     bl, byte ptr [eax]   //<--停在这里
    00514761    40              inc     eax
    00514762    885C24 0C       mov     byte ptr [esp+C], bl
    00514766    8902            mov     dword ptr [edx], eax
    5.重复第3个步骤,再次在代码段下访问断点,这时OD直达OEP
    0048AFBE    B8 78AC4800     mov     eax, 0048AC78//<--停在OEP
    0048AFC3    E8 D0B3F7FF     call    00406398
    0048AFC8    A1 08DA4800     mov     eax, dword ptr [48DA08]
    0048AFCD    8B00            mov     eax, dword ptr [eax]
    0048AFCF    E8 F8A4FDFF     call    004654CC
    0048AFD4    A1 08DA4800     mov     eax, dword ptr [48DA08]
    按Ctrl+G,输入48AFB8,下面键入被抽掉的代码
    0048AFB8 > $  54            push    esp
    0048AFB9   .  8BE5          mov     esp, ebp
    0048AFBB   .  83C4 F0       add     esp, -10
    在48AFB8这一行右键,选“此处为新EIP”
    6.用OD自带的插件OLLYDUMP,dump下来,大功告成!
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2007-12-27 10:07:58 | 显示全部楼层
    用了两个文件夹的意思就是不想给人发现那隐藏的 .DLL
    我以前也有这样的想法,不过那是写一个 CM 的时候,想把 keyfile 隐藏起来,但如果
    就这样隐藏,用户会在解压的时候看到隐藏文件的,所有我也就把它外面包裹了多一个文件夹 ^_^
    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表