molebox v2.3x脱壳
作者&投稿:吁关 (若有异议请与网页底部的电邮联系)
怎么回事啊 MoleBox 2.xx Unpacker 『加壳与脱壳』2。XX版本再加上插件 OEP Finder v1.10 就可以运行了
脱壳后运行不了肯定有问题。不过。。。MoleBox它不是壳啊,大哥。
【脱壳内容】首先Peid查壳,为MoleBox 2.x.x -> Mole Studio [Overlay],OD载入运行,无任何异常,判断其为压缩壳。
004CD61C > 60 pushad //外壳入口,和Upx等查不多。当我们脱壳上一个台阶后,普通壳就不用慢慢跟踪了。
004CD61D E8 4F000000 call imcast.004CD671 //F8单步到这里,看Esp=0012FFA4
004CD622 2120 and dword ptr ds:[eax], esp
004CD624 76 41 jbe short imcast.004CD667
004CD626 B4 13 mov ah, 13
004CD628 3B63 51 cmp esp, dword ptr ds:[ebx+51]
004CD62B 38CA cmp dl, cl
004CD62D D8ACD0 BBB52910 fsubr dword ptr ds:[eax+edx*8+1029B5BB]
004CD634 9F lahf
004CD635 A7 cmps dword ptr ds:[esi], dword ptr es:[e>
004CD636 9B wait
004CD637 BD B2BB61F4 mov ebp, F461BBB2
004CD63C B4 C9 mov ah, 0C9
004CD63E 17 pop ss
004CD63F BB 652286EE mov ebx, EE862265
004CD644 97 xchg eax, edi
004CD645 2AED sub ch, ch
004CD647 30DD xor ch, bl
004CD649 BB A64DED09 mov ebx, 9ED4DA6
004CD64E 5D pop ebp
004CD64F FC cld
004CD650 B7 01 mov bh, 1
004CD652 C01A AD rcr byte ptr ds:[edx], 0AD
004CD655 DFEF fucomip st, st(7)
004CD657 FD std
004CD658 ED in eax, dx
004CD659 A7 cmps dword ptr ds:[esi], dword ptr es:[e>
004CD65A 6A 38 push 38
004CD65C CE into
............................................................................
启用Esp定律。
dd 12ffa4
下硬件访问-Dword断点。
F9运行
硬件中断。
004CD5D0 61 popad // 关键字
004CD5D1 - FFE0 jmp eax // 断在这里,往上看到Popad关键字
0048636F 55 push ebp //F8到达Oep,Loadpe直接脱壳。
00486370 8BEC mov ebp, esp
00486372 6A FF push -1
00486374 68 E0144900 push imcast.004914E0
00486379 68 2C654800 push imcast.0048652C ; jmp to MSVCRT._except_handler3
0048637E 64:A1 00000000 mov eax, dword ptr fs:[0]
00486384 50 push eax
00486385 64:8925 0000000>mov dword ptr fs:[0], esp
0048638C 83EC 68 sub esp, 68
0048638F 53 push ebx
00486390 56 push esi
00486391 57 push edi
00486392 8965 E8 mov dword ptr ss:[ebp-18], esp
00486395 33DB xor ebx, ebx
00486397 895D FC mov dword ptr ss:[ebp-4], ebx
0048639A 6A 02 push 2
0048639C FF15 C4984800 call dword ptr ds:[4898C4] ; MSVCRT.__set_app_type
004863A2 59 pop ecx
004863A3 830D B42C4A00 F>or dword ptr ds:[4A2CB4], FFFFFFFF
004863AA 830D B82C4A00 F>or dword ptr ds:[4A2CB8], FFFFFFFF
004863B1 FF15 C8984800 call dword ptr ds:[4898C8] ; MSVCRT.__p__fmode
............................................................................
脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)
在Oep处填8636F,点IT自动搜索,然后点获输入信息,有9个指针没有修复。
千万别用等级1修复,等级修复的些什么,这些假东西保存程序肯定无法运行的。
呵呵,用跟踪等级3为我们修复3个,剩下6个就靠我们自己了。
我以 00089100 处 004D48A8 处的指针修复举个例子。
右键-反汇编/16进制显示
004D48BF call [4D80F0] // = kernel32.dll/001F/CloseHandle //这里最先看到CloseHandle就是我们要修复的指针。
其余的方法一样,注意并不是所有的脱壳程序都可以用这个方法,如Asprotect 1.23rc4无法修复的指针就可以用这个办法修复,切勿过于依赖,每个加密壳处理方法都不相同。
于是我们手动填入 CloseHandle
同理修复。
00089120 004D4793
为
CreateFileA
0008912C 004D498A
为
GetFileAttributesA
00089148 004D4BC9
为
UnmapViewOfFile
0008914C 004D4B8A
为
MapViewOfFile
0008915C 004D49B0
为
CreateFileMappingA
全部指针修复,修复抓取文件,正常运行。
你试试吧
确定进行打印,将弹出一个文件保存窗口,让1.WORD打印文件生成以后,就不能再用WORD等编辑工具打开和编辑了,只能直接
超凡野木: 关于拖壳 还是手动的好 自动拖壳很麻烦的直接拖出来不能用的都~ 还要复制文件尾部字符串猜可以~
富县13783839663: 跪求MoleBox V2.3X压缩包程序,解包方法.文字说不清请加QQ 549744959?
超凡野木: http://soft.mumayi.net/downinfo/4316.html 利用这个软件
富县13783839663: 300分求教脱壳高手 - ?
超凡野木: 如果楼主有心作 Cracker 的话可以在网上搜索到很多教程,本人只能点到为止,一是水平如此,二是个人尊重原作,我想我不便说的更多,关键是你自己摸索.-先用 PEID 这样的程序查看程序是否加壳,若加壳是什么壳,然后找相应的脱壳工具...
富县13783839663: MoleBox 2.xx Unpacker + OEP Finder v1.10怎么运行不了? - ?
超凡野木: MoleBox 2.xx Unpacker 『加壳与脱壳』2.XX版本 再加 上插件 OEP Finder v1.10 就可以运行了
富县13783839663: 这个是什么壳~怎么脱 会的教教我啊~纳闷啊~~~ 给50分.求教我脱壳 - ?
超凡野木: ....这是最简单的压缩壳啊 ,最简单的 去网上下载一个脱壳机,我常用的是 UPXShell,百度有的是,下一个就可以.再者 用OD手动脱壳,使用esp定律,下面简单说一下esp:1.F8,观察OD右上角寄存器中“esp”和“eip”是否同时变红,且其他的没有变红,如变红进行下一步2.命令行下断点:...直接下 “hr esp”回车,运行3,断下后F8单步跟,经过一个大跳之后就是oep了
富县13783839663: 软件脱壳工具有哪些 - ?
超凡野木: 常见的脱壳工具有两种:1.OD自带脱壳插件鼠标右键菜单,选择"Dump debugged process"->设置Entry Point->点击"Dump"2.LordPE LordPE进程列表中选择目标进程->鼠标右键菜单,选择"完整脱壳";脱壳步骤查壳 使用PEID, PE-SCAN等查壳工具查壳查找OEP 使用OllyDbg跟踪调试找到OEP脱壳 右键使用OLLYDBG自带的脱壳插件修复 脱下的程序如果不能执行,使用Import ReConstructor工具修复
富县13783839663: 探壳,脱壳,加壳软件都有哪些?哪里有相关的下载? - ?
超凡野木: 探壳目前最常用的是PEID,还有个Fi因为版本太老,很多新壳都识别不出了.脱壳加壳的软件就比较多了,可以到这里下载 http://www.pediy.com/tools.htm
富县13783839663: 高手来一个软件脱壳 - ?
超凡野木: 饿,这个有点麻烦,得先用PE查壳,然后OD载入脱壳,这时候壳非常好托,但弄掉后不能打开,这时候就要用LordPE v1.4载入原件右键完整脱壳,这时候才真正脱壳,但因为文件被损坏还是不能进,所以又要用到ImportREC修复,把你OD载入时的出口输到上面输入新西等最后修复脱壳后的文件,就好了.过程有点麻烦我也说不太清楚脱壳是需要经验的 偿抚稗幌织呵半童报阔 说了呢么多,分就给我吧
富县13783839663: 安卓软件怎么脱壳?有没有大神 - ?
超凡野木: 【脱壳所用工具及解释】 Xp框架及Fdex2:这两款软件就不过多解释了,大家应该都懂得!开发者助手(此教程可用也可不用):获取软件布局及控件资源的!和 “上帝模式”功能有异曲同工之妙! 当然 “开发者助手” 也可以用来检查软...
富县13783839663: 求【脱壳】ASProtect V2.X Registered - > Alexey Solodovnikov * Sign.By.fly *?
超凡野木: 【详细过程】 开始,先查下壳 普通扫描:ASProtect V2.X Registered -> Alexey Solodovnikov 扩展扫描 * Sign.By.fly [Overlay] *注意是有附加数据 用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 03.19 Beta [Extract] 第一步:脱壳 先OD...
