易语言脱壳:易语言LikeOne新视听网络电影电视脱壳来源: 发布时间:星期六, 2009年9月12日 浏览:12次 评论:0
脱文标题】 易语言LikeOne新视听网络电影电视UPX-Scrambler RC1.x反脱壳分析+伪破解
【破文作者】 weiyi75[Dfcg][D.4S] 【作者邮箱】 [email protected] 【作者主页】 Dfcg官方大本营、龙族联盟论坛 【使用工具】 Peid,Anti-UPX scramble.exe,UpxShell,olldbg,winhex 【破解平台】 WinNT/2000/XP 【软件Software名称】 LikeOne新视听网络电影电视 【下载页面】 点击下载 【软件Software大小】 1169 KB 【软件Software限制】 UPX-Scrambler RC1.x -> ㎡nT畂L [Overlay]防脱壳启动NAG+功能限制 【软件Software介绍】 最值得信赖网络电影电视软件Software500多个国内外电视电影台40多个精彩视频节目100多部最新电影超强音量控制<新视听网络电影电视>是款功能强大网络电影电视播放软件Software个网络视频、音频巨大仓库软件Software中内置了多达数百个国内外精彩电视频道、数十个国内外精彩电台广播以及数百部最新精彩电影 主要特点: ★在线实时收看数百个国内外精彩电影、电视频道节目 ★ 在线实时收听数十个国内外精彩电台广播; ★ 大量且不断更新最新精彩电影; ★ 赏心悦目数十个时尚写真精彩视频; ★ 简便操作您只需单击按钮便可进行观看、收听节目 ★ 专人负责节目链接从而保证了节目链接数量和质量 【破解声明】 我是只小菜鸟偶得点心得体会愿和大家分享:) -------------------------------------------------------------------------------- 【破解分析】 首先Peid 查壳为UPX-Scrambler RC1.x -> ㎡nT畂L [Overlay],注意到[Overlay],是指尾部有数据手动脱壳时尾部数据是不能脱壳出来,它并没有载入内存中UPX-Scrambler是UPX种加密器使UpxShell等工具无法直接脱壳 近期 2哥提供了Upx脱壳工具全家福目前用Upx包括变形Upx还真多,赶快去下载吧顶部工具介绍贴里面有下载地址 工具脱壳 首先对付UPX-Scrambler,用Anti-UPX scramble使用非常简单自动帮你备份了然后用Upxshell(Upx必须是1.90版)否则无法脱壳脱干干净净Overlay自动帮我们复制了 UPX-Scrambler RC1.x -> ㎡nT畂L [Overlay] To Microsoft Visual C 6.0 [Overlay] 904k To 3431k //用Upx脱Upx壳是最完美 Btw: 并非所有UPX-Scrambler RC1.x都是可以补丁略微变形下工具就败下阵来了手动脱壳复制Overlay我们还是要学 手动脱壳 OD载入 006AA60F > 90 NOP //外壳UpxScrambler入口 006AA610 61 POPAD //特征码 006AA611 BE 00D06700 MOV ESI,LikeOne1.0067D000 006AA616 8DBE 0040D8FF LEA EDI,DWORD PTR DS:[ESI+FFD84000] 006AA61C 57 PUSH EDI 006AA61D 83CD FF OR EBP,FFFFFFFF 006AA620 EB 10 JMP SHORT LikeOne1.006AA632 006AA622 EB 00 JMP SHORT LikeOne1.006AA624 006AA624 ^ EB EA JMP SHORT LikeOne1.006AA610 006AA626 ^ EB E8 JMP SHORT LikeOne1.006AA610 006AA628 8A06 MOV AL,BYTE PTR DS:[ESI] 006AA62A 46 INC ESI 006AA62B 8807 MOV BYTE PTR DS:[EDI],AL 006AA62D 47 INC EDI 006AA62E 01DB ADD EBX,EBX 006AA630 75 07 JNZ SHORT LikeOne1.006AA639 .............................................................. 根据UPX及变形UPX POPAD 对应 PUSHAD PUSHAD 底下是 JMP XXXXX //入口或第 2层壳特性 直接 Ctrl+F 向下找PUSHAD 006AA77E 60 PUSHAD //下就找到了 006AA77F - E9 AD90D5FF JMP LikeOne1.00403831 //直接F4下来 00403831 55 PUSH EBP //F8到达C语言入口非也应该是易语言,Upx不破坏输入表直接用OD插件脱壳重建输入表方式选择1 00403832 8BEC MOV EBP,ESP 00403834 6A FF PUSH -1 00403836 68 F0624000 PUSH LikeOne1.004062F0 0040383B 68 A44C4000 PUSH LikeOne1.00404CA4 00403840 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 00403846 50 PUSH EAX 00403847 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0040384E 83EC 58 SUB ESP,58 00403851 53 PUSH EBX 00403852 56 PUSH ESI 00403853 57 PUSH EDI 00403854 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 00403857 FF15 48604000 CALL DWORD PTR DS:[406048] ; KERNEL32.GetVersion 0040385D 33D2 XOR EDX,EDX 0040385F 8AD4 MOV DL,AH ................................................................................. 关闭OD 直接运行脱壳是无法运行提示你文件数据尾部Overlay没有复制出来,我先以为有自校验原来是新版Peid查壳时Overlay翻译成覆盖了时不适应浪费了不少时间对比分析好久,这个是不细心结果自我批评下 运行Winhex打开原 找到Overlay数据从尾部开始然后向上看找到大堆00 00和31 2E 等明显分界点这里就是Overlay起点 我们看到尾部数据从偏移量987开始在987处点右键选块开始 如图 然后滚动条拉到底到偏移量924990为止在924990处点右键选块结束 Crtl+C 复制选定内容 然后打开脱壳文件直接滚动条到尾部偏移量2815487处点右键-编辑-剪贴板数据写入,确定两次 如图 原理搞清楚就不犹豫,保存文件问你是否更新是运行正常 904k To 3652k 比工具脱壳大并且用工具脱壳你可以看见易语言标记区段 Alt+M打开内存镜像 内存镜像项目 15 地址=00409000 大小=0029C000 (2736128.) Owner=LikeOne1 00400000 区段=.ecode //易语言区段 类型=Imag 01001002 访问=R 访问=RWE 这次手动脱壳资源也完全释放了 不过易语言资源没工具编辑代码也完全释放了 我们用资源编辑工具和W32Dasm也可以识别这个是易语言 0
相关文章读者评论发表评论 |