EXEStealth 三个版本壳的同样脱法

野猫III · 发表于 2006-6-3 00:03:06

菜鸟脱菜壳，呵呵。。。

EXE Stealth2.72

EXEStealth 2.5

EXEStealth 2.5x - 2.7x

学习源于以下篇脱文：

http://www.chinadforce.com/viewthread.php?tid=479673

引用来给大家通考参考吧。。。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++quote
一软件，名字忽略拉 :D :D :D :D

保护方式：EXEStealth 2.5 2.6 - WebToolMaster

除了忽略在KERNEL32 中的内存访问异常打勾，其余一个勾都不打,插件隐藏OD。

用OD载入程序后。
确定一个入口点警告，Od提示程序加壳，选不继续分析。

0043A060 H> 60 pushad
0043A061 EB 22 jmp short HookSrv.0043A085

F9,中断异常

0043A71F CD 68 int 68
0043A721 33DB xor ebx,ebx
0043A723 64:8F03 pop dword ptr fs:[ebx]
0043A726 83C4 04 add esp,4
0043A729 66:81FF 9712 cmp di,1297
0043A72E 74 0E je short HookSrv.0043A73E
0043A730 66:81FF 7712 cmp di,1277
0043A735 74 07 je short HookSrv.0043A73E

最后一次异常

0043A7AB 0000 add byte ptr ds:[eax],al
0043A7AD 0000 add byte ptr ds:[eax],al
0043A7AF 0000 add byte ptr ds:[eax],al
0043A7B1 0000 add byte ptr ds:[eax],al
0043A7B3 0000 add byte ptr ds:[eax],al
0043A7B5 0000 add byte ptr ds:[eax],al
0043A7B7 0000 add byte ptr ds:[eax],al
0043A7B9 0000 add byte ptr ds:[eax],al
0043A7BB 0000 add byte ptr ds:[eax],al
0043A7BD 0000 add byte ptr ds:[eax],al
0043A7BF 0000 add byte ptr ds:[eax],al
0043A7C1 0000 add byte ptr ds:[eax],al
0043A7C3 0000 add byte ptr ds:[eax],al
0043A7C5 0000 add byte ptr ds:[eax],al
0043A7C7 0000 add byte ptr ds:[eax],al

堆栈内容

0012FFBC 0012FFE0 指针到下一个 SEH 记录
0012FFC0 0043A74E SE 句柄

ctrl+g,去异常出口 0043A74E

0043A74E 55 push ebp ;F2下断，F9运行，继续
0043A74F 8BEC mov ebp,esp
0043A751 57 push edi
0043A752 8B45 10 mov eax,dword ptr ss:[ebp+10]
0043A755 8BB8 C4000000 mov edi,dword ptr ds:[eax+C4]
0043A75B FF37 push dword ptr ds:[edi]
0043A75D 33FF xor edi,edi
0043A75F 64:8F07 pop dword ptr fs:[edi]
0043A762 8380 C4000000 08 add dword ptr ds:[eax+C4],8
0043A769 8BB8 A4000000 mov edi,dword ptr ds:[eax+A4]
0043A76F C1C7 07 rol edi,7
0043A772 89B8 B8000000 mov dword ptr ds:[eax+B8],edi
0043A778 B8 00000000 mov eax,0
0043A77D 5F pop edi ;HookSrv.004B340(*****飞向光明之颠********)
0043A77E C9 leave
0043A77F C3 retn

ctrl+G--004B340

0040B340 55 push ebp ////入口点,DUMP
0040B341 8BEC mov ebp,esp
0040B343 6A FF push -1
0040B345 68 D0F14100 push HookSrv.0041F1D0
0040B34A 68 90B24000 push HookSrv.0040B290 ; jmp to MSVCRTD._except_handler3
0040B34F 64:A1 00000000 mov eax,dword ptr fs:[0]
0040B355 50 push eax
0040B356 64:8925 00000000 mov dword ptr fs:[0],esp
0040B35D 83C4 94 add esp,-6C
0040B360 53 push ebx
0040B361 56 push esi
0040B362 57 push edi
0040B363 8965 E8 mov dword ptr ss:[ebp-18],esp
0040B366 C745 FC 00000000 mov dword ptr ss:[ebp-4],0
0040B36D 6A 02 push 2
0040B36F FF15 0C3A4300 call dword ptr ds:[433A0C] ; MSVCRTD.__set_app_type
0040B375 83C4 04 add esp,4
0040B378 C705 702C4300 FFFFF>mov dword ptr ds:[432C70],-1
0040B382 A1 702C4300 mov eax,dword ptr ds:[432C70]
0040B387 A3 802C4300 mov dword ptr ds:[432C80],eax
0040B38C FF15 083A4300 call dword ptr ds:[433A08] ; MSVCRTD.__p__fmode
0040B392 8B0D 5C2C4300 mov ecx,dword ptr ds:[432C5C]
0040B398 8908 mov dword ptr ds:[eax],ecx
0040B39A FF15 043A4300 call dword ptr ds:[433A04] ; MSVCRTD.__p__commode

脱壳后的程序，直接成功运行。:D :D

[ 本帖最后由野猫III 于 2006-6-3 12:05 编辑 ]

蓝枫 · 发表于 2006-6-3 18:40:06

支持呀！！！

haiye · 发表于 2006-6-3 19:31:08

我也来支持一下！

matin · 发表于 2006-6-5 10:01:29

好下来学习~

thank243 · 发表于 2006-6-8 16:42:05

谢谢猫哥啊

dryzh · 发表于 2006-7-11 01:46:04

俗称:"SEH最后一次异常法"

matin · 发表于 2006-7-13 13:29:29

支持呀！！！

小小子 · 发表于 2007-8-12 18:03:30

下载了，谢谢分享！/:001

gaodao1 · 发表于 2007-10-2 13:02:47

支持一下。又增长了点知识。

majun1980 · 发表于 2008-5-2 00:49:42

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			加入我们

majun1980 majun1980 当前离线 UID 49044 注册时间 2008-5-1 阅读权限 10 最后登录 1970-1-1 周游历练周游历练, 积分 36, 距离下一级还需 164 积分周游历练, 积分 36, 距离下一级还需 164 积分 IP卡该用户从未签到	发表于 2008-5-2 00:49:42 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
	PYG19周年生日快乐！
	回复支持反对使用道具举报显身卡

[PYG原创] EXEStealth 三个版本壳的同样脱法

本帖子中包含更多资源

相关帖子