再次关于Molebox加密文件进行解密的问题。

Cracking

前几天在看雪和飘云两个论坛发了求助贴。是有关于Molebox2.3和Molebox2.6的脱壳。

不过给我的都是破文，我按照上面的方法脱掉用Molebox2.3和2.6的壳，刚开始的话很乏味，乏味他找到OEP后完全脱壳掉还得手动修复，

于是在找找有关的资料，有一个文章写的很详细，上面交你修复Molebox2.3的壳加修复IAT

于是又做了个实验，试着照葫芦画瓢，于是修复成功了。可是后来我要脱壳破解的那个软件又会了一种新的玩法，它现在不把打包的程序格式弄为.exe的

弄成别的了  也是用molebox加密的  他给弄成Pla   可是我在百度和Google上找他是个AutoCad的文件，可是我的机器上有Cad怎么的也打不开

于是我就研究了下Molebox   后来才知道 它其实能让打包的文件后缀名为自己定义的名字。

这下可坏了  我在次用OD和其他的反编译软件来试着打开它  可上面就出现他不是有效的win32程序。

于是我想可能是他把exe改成pla了  我把他改回来，在od上写的还不是有效的win32程序。

请问大虾这个是怎么回事情
以下是游戏人物文件（也就是用Molebox打包的程序）  他修改的文件的后缀，其实他是个人物的文件夹。
http://www.mugenchina.org/host/mary.pla
由于游戏程序太大，有的人没有耐心下载，在次把主程序文件也就是游戏的启动程序放到了上面。
Cracking.ys168.com   （里面有个要脱的文件  里面的kofz.exe就是.


还有，大牛们如果要是没有耐心脱壳的话  小生也有 有关于Molebox的脱壳脚本，OD的

//molebox 2.x ,by Cracking
#log
msg "忽略所有异常"
sto
sto
var cool
mov cool,esp
bphws cool,"r" //esp定律,用来找OEP
var VirtualProtect
gpa "VirtualProtect","kernel32.dll"
cmp $RESULT,0
je err
find $RESULT,#C21000#
cmp $RESULT,0
je err
mov VirtualProtect,$RESULT
bp VirtualProtect  //下VP的断点为了找IAT加密的地方

eob check
eoe check //发生中断则执行check
esto

ret


check:
log VirtualProtect
cmp eip,VirtualProtect  //检查是否是断在VP
je VirtualProtect
esto
ret


VirtualProtect:
rtu
var a
mov a,eip
mov a,[a]
cmp a,A75C085 //看用户代码处是否test eax,eax;jnz
je iat //如果是则到了关键地点
esto
ret



cool: //所有要做的都做完了,很快到OEP了
cob
coe
run
bphwc cool

zou: //自动走路的代码
mov a,eip
mov a,[a]
shl a,8
shl a,8
shl a,8
cmp a,58000000  //直到指令不是pop eax为止
jne cool2
sto
jmp zou

cool2:
sti //进入call eax就到OEP了
jmp oep
ret



iat: //对IAT加密的代码进行PATCH
find eip,#8901#
cmp $RESULT,0
je err
mov [$RESULT],#9090#
msg "绕开输入表加密!"
bc VirtualProtect
jmp cool
ret


oep:
cmt eip,"OEP or next shell!!!dump and fix IAT"
an eip
ret

err:
msg "error"
ret

以下是我以前脱Molebox壳的思路，不过是错误的，这个是在我以前不知道脚本前写的求助帖。到了现在我还不知道没有跺开加密指针是什么意思。
希望能有人能帮下，谢谢了

按照http://bbs.pediy.com/showthread.php?t=73286
二楼的回复，我也尝试了下脱MB的壳。
前面启动Esp定律和他的相同。
[QUOTE]启用Esp定律。

dd 12ffa4

下硬件访问-Dword断点。

F9运行

硬件中断。

直到找到OEP和他的不一样。
我的那个软件的Oep是00494A80
也是按照他的方法做的  启动loadpe全脱为dump.exe
之后到import修复，  他的那里是9个指针错误，我的这里只有一个。

不知道那个无效的算不算一个。
还有那个指针修复不了，用1~3的都修复不了。
于是我直接给删除那个指针了，因为以前看到别人的教程也是这么做的。
等删除后我在修复dump的时候，显示成功。可是我运行那个程序的时候就显示的：

可是我已经脱下来了  为C++的软件，用peid查也是。
是不是我修复的时候出错了。


文件为
http://cracking.ys168.com/?jdfwkey=btp3l2

在我的网盘里呢/

要是有哪个大哥帮我脱下来就好了 而且能运行。

那个文件要是脱完运行的话  应该是显示为。


[/quote]

[ 本帖最后由 Cracking 于 2008-10-16 22:08 编辑 ]

Nisy

kofz ？ 那个同人游戏？ 司马里那个吧

那个是M打的包？只听说加密上做了点手脚 没分析过 M的壳修复比较麻烦 那帮人游戏开发到这水平 宣传上都说了不会让大家轻易修改的 所以估计脱壳了也只是刚刚开始 复杂的还再后面  /:L

冷血书生

你需要把文件分离出来~~~~~~~~~~~~~~~~~~~

Cracking

原帖由 Nisy 于 2008-10-9 22:53 发表
kofz ？ 那个同人游戏？ 司马里那个吧

那个是M打的包？只听说加密上做了点手脚 没分析过 M的壳修复比较麻烦 那帮人游戏开发到这水平 宣传上都说了不会让大家轻易修改的 所以估计脱壳了也只是刚刚开始 复杂的还再 ...

哎呀  kofz小组的所有方法我基本有点熟悉了！
他们就是利用Molebox打的包，完了主程序kofz.exe绑定了mugen游戏引擎的那两个插件。
之后他把data文件夹和stages画面包的文件夹还有sount文件夹和字体文件夹都绑定了目录下面的data.dat文件夹当中，
而人物为pla文件。其实那pla文件也是个文件夹打包的 他是把人物的chars文件夹里面的 所有游戏的人物打包到pla文件里。
基本就是这个样子。
脱壳是过来了，是能脱了，可就是那可恨的molebox可以自定义打包文件的后缀。
要是不用od查看的话  还能有什么工具能呢
本来od也看不了  因为他不是有效的win32程序！
我是因为自己做实验 也做了个和kofz一样的游戏整合。就是利用了molebox打包得来的。

Cracking

原帖由 冷血书生 于 2008-10-9 23:24 发表
你需要把文件分离出来~~~~~~~~~~~~~~~~~~~

谢谢你的回复  冷大，我遇到的问题不是分离，而是怎么面对一个不是应用程序的脱壳，

这个要是.exe的文件  我应该是可以分离文件，

可这个到不是，  哎呀可恨的molebox啊！

冷血书生

文件分离出来后,脱壳后的程序就可以正常运行了,怎么与分离无关呢?

Cracking

原帖由 冷血书生 于 2008-10-10 18:59 发表
文件分离出来后,脱壳后的程序就可以正常运行了,怎么与分离无关呢?

哦 那是先脱壳还是先分离，一般都是先脱壳，分离呢！   

哎呀 假假真真  真真假假！

那个壳你应该是接触过的，可是他打包的不是为exe文件  

而是自定义的后缀，那个要怎么去面对，要是exe文件的话  那直接脱  或直接分离即可！

jackzkm

这个有些复杂了！