pe脱壳:PE-Pack脱壳手记
前天在国外某网站WebSite下载了个注册机制作工具(类似于国内注册机生成器),某些功能很有特色,所以想汉化了自己用,用PEiD查看加什么壳,原来是PE-Pack 1.0加壳,当即用trw载入,跟踪到入口,makepe,结果不能使用,用ImportREC可以修复,却不能跨平台运行 于是在网上找了下,找到个叫Depepack,很容易就把壳脱了,当时也没有在意,今天无意中打开论坛精华4,看到 娃娃[C... [阅读全文]
qunpack脱主程序壳:脱PEX V0.99b bart^crackPL的壳
这个壳强度般不过有对ice和trw陷阱我们要设法跳过去 工具:trw、ice、improtrec等 我不说是哪个但是如果你要想跟我同研究探讨话请Q我 好了来吧! 真正入口?用冲击波就可以找到:4261F4但是我们还要手动试试 用trw载入它load017F:00447FFE INVALID 017F:00448000 JMP 004480FA ----入口按F8继续跟 017F:00... [阅读全文]
脱壳工具:bjfnt v1.3脱壳手记
这几天好像都 看见有人问bjfnt 1.2壳如何脱,所以写了这篇文章,最新是1.3版,所以我在这里只讲1.3脱壳,我想1.2应该比1.3简单吧.当然这里有高手无数,只是他们没有时间写点东西出来,我就只有代劳了. 真是花指令无数,我总经验就是直F8,直到看到某个循环过不去了,然后停下来分析,在后面还有个大循环,我在里面转了10分钟才转出来,汗...,再次提醒各位,在这里面千万不要用F10,都是花指... [阅读全文]
脱壳工具:FSG 1.33 的简单脱壳
使用工具: OLLYDBG 1.09b、Import REConstructor v1.4.2、PEiD0.8 目 标: FSG 1.33本身 平 台: Windows 2000 Server SP3 难 度: 低 FSG是个最近比较流行加壳软件Software压缩比很高而且似乎没有自动脱壳机 废话少说我们开始: PEiD看下不能识别是什么壳OEP也找不到看来这个小软件Software... [阅读全文]
脱壳工具:Advanced Direct Remailer 2.17 脱壳
使用工具: loader、TRW2000、superbpm、Import REConstructor v1.4.2+ 这个软件Software同样是在汉化新世纪论坛上有朋友要我水平太烂搞了好半天才搞定了脱壳:) 脱壳过程: .找入口点 用 fs0 大哥 loader 载入软件Software主几秒钟后 loader 会告诉你 OEP 是 0043835E 2.TRW 初步脱壳... [阅读全文]
aspack2.12:用ollydbg脱aspack2.12的壳
首先, 用aspack2.12把记事本加壳, 用PEiD看了下, 说是"ASPack 2.x modied - DAMN". 呵呵. 打开Ollydbg, 加载notepad.exe, 弹出个对话窗. 不用管他, 按确定. 接着弹出另个对话窗告诉你可能被压缩过, 是否继续, 还是按确定按钮. 停在入口处, 按F8单步执行:01010001 60 PUSHAD //入口01010002 E8 ... [阅读全文]
ollydbg使用:使用OllyDbg快速脱壳
使用OllyDbg快速脱壳 dOSKEY lEE 目标:采用ASPACK、UPX加壳NOTEPAD.EXE 工具:OllyDbg 1.09英文版、DUMP插件、PEditor 系统:Win98SE 关键词: 脱壳、OllyDbg、OD、DUMP、PUSHAD、POPAD 预备知识 大多数壳都有个共同特点在壳准备开始解压时都要执行PUSHAD当壳解压 完时都要POPAD到底PUSHA... [阅读全文]
加壳软件:用ollydbg跟踪asproctect1.2加壳的软件Software
打开ollydbg,将options菜单下debugging options中Exceptions3 和single 勾选上好了开始吧 这次以XXXXXX为目标加载XXXXX ,按F9 嘭..... 中断在第个异常处:003D009D 3100 XOR DWORD PTR DS:[EAX],EAX ---003D009F EB 01 JMP SHORT 003D00A2003D00A1 68... [阅读全文]
加壳工具:用ollydbg跟踪te!lock加壳的软件Software
打开ollydbg,将options菜单下debugging options中Exceptions3 和single 勾选上好了开始吧 这次以XXXXXX为目标加载XXXXX ,按F9 嘭..... 中断在第个异常处:005570A7 F7F3 DIV EBX ---005570A9 64:67:8F06 0000 POP DWORD PTR FS:[0]005570AF 8... [阅读全文]
olldbg:应用olldbg脱telock加壳的菜鸟篇
应用平台: Win95/98/NT/2000/XP 破解工具:ollydbg 1.09汉化版、peid8cn、Hex Workshop 4.0、peditor、Lordpe工作平台WINXP(98死得惨) 破解思路方法:学习如何脱壳 脱壳过程: 、查壳找入口点用peid8cn打开主结果是telock0.98入口点:5a172c(关键入口点用PEID8CN右下下拉菜单中OEP查找搞定... [阅读全文]
ollydbg:用OllyDbg脱ASPR 1.3x的壳
前言 这篇文章讲述如何真正快速简单脱掉ASPR 1.3x壳并且找出被抽掉字节…并且不使用SoftIce、IceDump和 /tracex!用什么?使用OllyDbg ! 所需工具 1. OllyDbg 1.09b2 or er 2. ProcDump(G-rom)/Pe-edit(y0da) 3. imprec 1.3 (MackT/UCF)(protool... [阅读全文]
pebundle脱壳机:用Ollydbg手工脱壳的Pebundle2.3
**数据工厂2003,经查为Pebundle2.3加壳,试用ollydbg手工脱壳. 0048E000 9C PUSHFD ; 进入点D 0048E001 60 PUSHAD 0048E002 E8 02000000 CALL TotoFact.0048E009 0048E007 33C0 XOR EAX, EAX 0048E0... [阅读全文]
ollydbg:用OllyDbg配合ollyDump手动脱壳
工具:ollydbg1.09B,插件ollyDump V2.11.108 基本操作:F8-单步执行遇到call不进入F7-单步执行遇到call进入F4-执行到光标所在行F2-设断 手动脱壳要把握两点: 1、单步往前走不要回头 2、观察注意poshad、poshfd,popad、popfd等注意地址发生大变化 用PECompact V1.40-45加壳没见过在这里只好手动脱壳 0054D... [阅读全文]
加壳脱壳工具:Armadillo标准加壳的程序的脱壳和引入表修复方案
用过ARMADILLO人都知道,用它加壳有两种方式,是使用COPYMEMII,是标准加壳.用COPYMEMII般可用DILLODUMP脱(当然也有时脱不了),而用标准加壳用DILLODUMP是脱不了,这是DILLODUMP中介绍说明,我们来看看: NOTE: This _disibledevent=0012DB30 000CB000 |Size = CB000 (831488.) 0012DB... [阅读全文]
加壳脱壳工具:对用Petite2.2加壳的程序进行手动脱壳的一点分析
(以后如未特别介绍说明这里所说脱壳均是指对用Petite2.2加壳而言) 前言:这几天直在对Petite2.2做试验整理总结下这几天点经验希望对大家对Petite2.2加壳进行手动脱壳时有点帮助般按照以下思路方法可以简化跟踪过程也节省点大家手动脱壳时间(当然大家如果手头上有对此自动脱壳工具话就不在此列了可惜现在我手头上还没有也没有编写这类脱壳经验不知道如何下手希望以后我能对此知其 2 :-) )... [阅读全文]
warez:WAREZ无形帝国(1)
这会儿夜深了他们昏昏睡去随便哪栋建筑某个黑洞洞窗口你冷眼望去没准就能看到台白色电脑静静地卧在主人书桌上如果那主人睡得足够深你就打开他抽屉现在你看到了什么?哦我不是指他私人日记也没让你翻他相册 和笔盒结果呢你没看到几张盗版软件Software么? 谁敢说自己个人电脑里没有个软件Software是非法呢?是个庞大无形盗版帝国支撑着我们走进了IT时代这么说似乎并不夸张那么你想了解它们始作俑者身份和来历... [阅读全文]
warez:WAREZ无形帝国(2)
4 这节将简要介绍下RAZOR1911组织从1985年至今在Commodore64Amiga和PC机上经历(C64和Amiga都是80年代4位/8位游戏机)它是此类组织发展历程中最具代表性个 1985年10月个雨后傍晚3个年轻挪威计算机爱好者决定成立个计算机小组破解Commodore64机种游戏软件Software他们并不很清楚成立个小组都需要些什么但他们从1941、Section 8、Jed... [阅读全文]
unpack:How to unpack PE file packed by UPX 0.72
Analysis: UPX是个可以高度压缩PE文件格式免费packer,压缩后original filesection被重新组织成4个section,分别从upx0到upx2, section of upx0其Raw Size是0但Virtual Size和原始文件Size of Image相比稍大可见是UPX是将解压缩后原始文件数据映射到此;upx1起始部分是被UPX重新构建Import Ta... [阅读全文]
pe脱壳:压缩和脱壳-PE文件格式 2
PE 教程 3: File Header (文件头) 本课我们将要研究 PE header file header (文件头)部分 至此我们已经学到了哪些东东先简要回顾下 :DOS MZ header 又命名为 IMAGE_DOS_HEADER . 其中只有两个域比较重要 : e_magic 包含串 "MZ" e_lfa 包含 PE header 在文件中偏移量 比较 e_magic 是... [阅读全文]
pe脱壳:压缩和脱壳-PE文件格式 一
教程1 : PE 文件格式览 考虑到早期写 PE 教程 1 是自己所有教程中最糟糕篇此番决心彻底重写篇以飨读者 PE 意思就是 Portable Executable (可移植执行体)它是 Win32 环境自身所带执行体文件格式它些特性继承自 Unix Coff (common object file format) 文件格式 "portable executable" (可移植执行体)意... [阅读全文]
pe脱壳:压缩和脱壳-PE文件格式 3
分析 : 本例重用了 PE 教程 2 代码校验 PE 文件有效性后继续 ShowSectionInfo 显示各节信息ShowSectionInfo proc uses edimov edi, pMappingassume edi:ptr IMAGE_DOS_HEADERadd edi, [edi].e_lfaassume edi:ptr IMAGE_NT_HEADERS 我们将 edi 用作... [阅读全文]
pe脱壳:压缩和脱壳-PE文件格式 4
举例 : 本例程打开 PE 文件将所有引入名读入编辑Control控件同时显示 IMAGE_IMPORT_DESCRIPTOR 结构各域值.386.model flat,stdcalloption map:none masm32windows.inc masm32kernel32.inc masm32comdlg32.inc masm32user32.inclib masm32libuser3... [阅读全文]
pe脱壳:压缩和脱壳-PE文件格式 5
PE教程7: Export Table(引出表) 上课我们已经学习了动态联接中有关引入表那部分知识现在继续另外部分那就是引出表理论 : 当PE装载器执行个它将相关DLLs都装入该进程地址空间然后根据主引入信息查找相关DLLs中真实地址来修正主PE装载器搜寻是DLLs中引出 DLL/EXE要引出个给其他DLL/EXE使用有两种实现思路方法: 通过名引出或者仅仅通过序数引出比如某个DLL要引... [阅读全文]
脱壳工具:压缩和脱壳-认识脱壳
我写这篇东西主要目是让初到本站新手们能对“壳”有个大概认识知道我每天说了些什么限于本人知识如果有 ERROR 的处还请多原谅如果你觉得还可以 也欢迎转贴但请保留文章完整性和作者资料当然如果你想把它发表硬塞些稿费给 俺花花我也不会拒绝 作为个以“壳”为主站台如果连访者连什么是“壳”都不清楚话那我也太失败了很早以前就想写编完全... [阅读全文]
自动脱壳工具:压缩和脱壳-自动脱壳
1、工具介绍 通过上节我想大家己认识了什么是壳概念了也是说运行加壳时 用户执行实际上是这个外壳而这个外壳负责把用户原来在内存中解压缩并把控制权交还给解开后真正由于切工作都是在内存中运行用户根本不知道也不需要知道其运行过程只要执行起来没有变化就好当时有些人担心这些解压缩工作会给带来额外运行时间但实际上所有可执行文件都要读到内存中去执行文件小了从计算机硬盘上读到内存时间自然也少了两下相抵实际上用户并... [阅读全文]
脱壳工具:压缩和脱壳-手动脱壳
1、基本知识 手动脱壳就是不借助自动脱壳工具而是用动态调试工具SOFTICE或TRW2000来脱壳这课谈谈些入门方面知识如要了解更深脱壳知识请参考脱壳高级篇这课 工具 *调试器:SoftICE 、TRW2000 *内存抓取工具:Procdump等; *十 6进制工具:Hiew、UltraEdit、Hex Workshop等; *PE编辑工具: Procdump、PEditor等; 名... [阅读全文]
上兴远控脱壳版:压缩和脱壳-脱壳高级篇 上
1、认识Import表 著者: [yAtEs] [[email protected]] 译者:hying[CCG] 有很多介绍PE文件文章但是我打算写篇有关输入表文章它对于破解很有用 我想解释它最好思路方法是举个例子你可以跟着我逐步深入步步研究最后你将完全明白我选择了个我刚下载下来小它是用TASM编译有个比较小输入表所以我想它应该是个不错范例 好了让我们开始吧首先我们得找到输入... [阅读全文]
脱壳工具:压缩和脱壳-脱壳高级篇 中
1、ASProtect v0.95保护 教程写作: 看雪 大小:Showdep.exe 为177K 使用工具:Softice 4.05; ProcDump 1.6.2 Final; FrogsICE v0.43;Icedump 6.016 首先忠心感谢D.boy 和RuFeng热心帮助是在他们帮助下我才对PE文件有定程度了解我把从他们那里吸取经验整理总结了篇文章希望对大家有所帮助为了使初... [阅读全文]
脱壳工具:压缩和脱壳-脱壳高级篇 下
1、先装载Icedump 在这用Icedump 6.016版本其命令操作形式完全和以前版本区别先在Icedump目录里运行相应SOFTICE版本icedump.exe(我用SOFTICE是4.05版因此在win9x/405目录下运行icedump.exe)如Icedump装载成功Icedump会返回如下信息: icedump v6.0.1.6 for winice v4.05 loaderice... [阅读全文]
winkawaks1.45:WinKawaks 1.45脱壳笔记
最近有朋友问UPX + cryptor壳如何脱,我还真以为是UPX + cryptor壳呢,结果下载了看fi2.5显示为UPX + cryptor,但是我要说这次FI错了,我从来没有遇到UPX + cryptor里面有3. 后来有朋友说是老王NC?(什么东东?)加壳?,我如在云里雾里.不管它,先脱着试试.0187:00732060 50 PUSH EAX //载入后停在这里0187:007320... [阅读全文]