用OD加载程序,OD调试设置为“Break on new module(DLL)”,至到mscorlib.dll加载时,记下以下两个值:
00400168 08200000 DD 00002008 ; COM+ Runtime Header address = 2008
0040016C 48000000 DD 00000048 ; Import Address Table size = 48 (72.)
...From 52pojie.
1.可以分析VM的基本信息,包括解析VM入口信息及handler名,大致是阉割版fkvmp(无解析流程功能)
2.可以自动脱壳vmprotect保护的壳,包括IAT,资源保护,heap antidump等
3.脱壳后,需用UIF跟REC修复,才能实现跨平台。
下载地址:
http://115.com/file/e6tvq3ti#
...
脱壳破解工具箱 UnPacKinG & CrAcKinG TooLs v2o12.o1.13 By RegKiller 完整版
关于版本:
1 本版为完整版
2 以后也许会考虑出个极度精简版.方便虚拟机下使用
关于工具:1 之前用过的朋友应该都知道了,不过多介绍,这次只是做了下更新.
...
包括新增和删减了一些工具以及工具箱中的工具分类.
包括更新了已有工具的版本到最新版.工具太多.不一一介绍了
Author: LCF-AT
ZProtect 1.3 - 1.6 (Decryption + Unpacking) 脱壳
Today I will release two new ZProtect script's which I have written in the past. The first script is a new version of my ZProtect DeCryption script which now also supports ZProtect 1.6 HWID targets. The second script is a ZProtect unpacker script which can unpack the most ZP targets. I also created four movies for you to make it easier and that you also know how to work with the sctips. Four movies with some different targets. In one target I unpack also a double layer with VMP protected ZP HWID file. All in all it should be a good mix for you now. I included the UnpackMe's too of course.
...解决 v2.3 版本及之前版本退出时出错的方法:
删除 D:\破解工具箱\音速启动\User50\HotKey.vsh 文件即可。
包中所有工具均来自网络,有些加过壳,有些用到了驱动,还有少数工具用到了 .net 环境,请下载后自行杀毒,信的过我你就把工具路径放到杀软的排除列表中(我自己是这么做的),或关掉杀软再用,否则请打开杀软安装,遇到杀软报毒的请直接删除吧,以后发现缺了什么文件也别来问我。
...
【文章标题】: 手脱街头篮球某外挂 ZProtect 1.6 壳
【文章作者】: 2666fff
【作者邮箱】: wan0001@brauer.vic.edu.au
【软件名称】: 大牛外挂
【下载地址】: 自己搜下
【加壳方式】: Zprotect 1.6
【编写语言】: 易语言
【使用工具】: OD IR LoadPe ZPfixer ZPdump
...
转自UPK。By cketop。
注意:
1.猜解出来的解码值要与错误的解码值对齐才是正确的值。
...
虽说壳比较老了,但思想还是值得参考的……
By demoscene.
垃圾前言
这个壳早就已经被各位大牛肢解了,而 且也不更新了,现在的软件基本上不会用它来加壳了吧。我写这篇文章只是来过下手瘾
其实Acprotect以前就分析过 了(主要是分析IAT处理),现在写篇文章来作个记录吧。
...
最近脱个简单的壳,还忙活了好一会,后来发现时附加数据的问题,顺便记录下,给用的着的人作为一些参考。
不明白附加数据是什么的,先Google下吧……
简单说就是查壳时会显示overlay!
ASPack 2.12 -> Alexey Solodovnikov [Overlay]
这种情况脱壳后需要把附加数据补到脱壳修复后的文件尾即可,有工具可以做这个活,当然手动在winhex中操作亦可。找附加数据位置就是最后一个区段完,然后一直到文件尾即为附加数据。
...
目标程序是我自己用WinLicense 2.1.0.0加的一个VB程序,保护选项默认。刚开始很灵异,最后换了个OD脱壳才OK……
工具:原版英文OD+StrongOD
用到的脚本是:Themida + WinLicense 1.1.0.0 - 2.1.0.0 Dumper + IAT Repair + CodeEncrypt Repair v2.6.0
OD载入程序,跑脚本,等待……^_
...peid查壳显示 bambam V0.04 -> bedrock * Sign.By.fly *
脱它很简单,用二次内存断点法即可。或者直接在入口处搜索ret指令,在第二处下断,shift+F9断下后F7就到OEP了^_
小分析下它:
0046B2B0 > BF 4CD04600 MOV EDI,0046D04C ; 外壳入口
...
在看雪精华集里kanxue的一篇好文章,学习^_
标 题: Obsidium外壳学习手记
作 者: kanxue
...
1、单步法
顾名思义:就是一直单步F8、F7走
2、ESP定律法
在关键句的下一行、下ESP断点、
例如: push ebp
Mov ebp,esp (注意此时的Esp值变化、转存中跟随到数据窗口、下硬件访问断点-DeWord(双字节))
3、两次内存断点法
打开内存镜像(Alt+M)、在data段、下内存访问断点。F9运行、再次打开内存镜像、在code(text)段、下内存访问断点、F9运行。此时即可到达OEP
其实这个方法很简单,只对\ZProtect 1.4.8.0 demo版有效。
方法就是用exeinfope这个查壳工具中的一个功能选项来秒脱,如图:
...