中国IT动力,最新最全的IT技术教程
最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档
首 页 | 程序开发 | 操作系统 | 软件应用 | 图形图象 | 网络应用 | 精文荟萃 | 教育认证 | 硬件维护 | 未整理篇 | 站长教程
ASP JS PHP工程 ASP.NET 网站建设 UML J2EESUN .NET VC VB VFP 网络维护 数据库 DB2 SQL2000 Oracle Mysql
服务器 Win2000 Office C DreamWeaver FireWorks Flash PhotoShop 上网宝典 CorelDraw 协议大全 网络安全 微软认证
硬件维护  CPU  主板  硬盘  内存  显卡  显示器  键盘鼠标  声卡音箱  打印机  机箱电源  BIOS  网卡  C#  Java  Delphi  vs.net2005
  当前位置:> 看雪学院专区 > 加壳与脱壳
Execryptor加壳的MultiTranse 4.1.1
作者:linex 时间:2006-12-13 18:16 出处:pediy.com 责编:月夜寒箫
              摘要:Execryptor加壳的MultiTranse 4.1.1
脱壳软件:MultiTranse 4.1.1
下载地址:http://www.tialsoft.com/download/
软件说明:MultiTranse is a software that employs free online resources to translate to/from 13 different languages.  
加壳方式:Execryptor 2.x  
作者声明:只是感兴趣,失误之处请各位大侠指正。


近来论坛上Execryptor的文章多了,恰逢Multitranse用此加壳了,试练一下,作个笔记共享。
一、用HidaOD隐藏好OLLYDBG_Execryptor(专门调试Execryptor的OD,见后面的链接),停在系统断点后,运行BypassAnti脚本,中间会有一些错误提示,按确定后再Shift+F9跳过,脚本运行后停在这里:
代码:

006147C1    52              PUSH EDX                                 ; MultiTra.006147C1
006147C2    8BD6            MOV EDX,ESI
006147C4    871424          XCHG DWORD PTR SS:[ESP],EDX
006147C7    BE 49EC5C00     MOV ESI,MultiTra.005CEC49
006147CC  ^ E9 1672FEFF     JMP MultiTra.005FB9E7
006147D1    C3              RETN

此时到401000区段看一下,已经解码了,在401000区段下内存访问断点后断在这里
:
代码:

00552CF1  - E9 FE8E0A00     JMP MultiTra.005FBBF4
00552CF6  - E9 7D6D0D00     JMP MultiTra.00629A78
00552CFB  - E9 C8E40C00     JMP MultiTra.006211C8
00552D00  - E9 565B0D00     JMP MultiTra.0062885B
00552D05    50              PUSH EAX
00552D06    871C24          XCHG DWORD PTR SS:[ESP],EBX
00552D09    E9 13000000     JMP MultiTra.00552D21
00552D0E    DAFC            FIDIVR ESP                               ; Illegal use of register
00552D10    4C              DEC ESP

可以DUMP了,根据入口处代码上下找一找,OEP被VM了,连蒙再猜的补上Stolen OEP的代码
代码:

005535E8 > $  55            PUSH EBP
005535E9   .  8BEC          MOV EBP,ESP
005535EB   .  83C4 F0       ADD ESP,-10
005535EE   .  53            PUSH EBX
005535EF   .  56            PUSH ESI
005535F0   .  57            PUSH EDI
005535F1   .  B8 982F5500   MOV EAX,00552F98
005535F6   .  E8 8937EBFF   CALL 00406D84


二、IAT
估计是新版本的Execryptor,IAT脚本不太好使,有些指针就用IM的Execryptor插件修复一下,再不行就只好下内存断点自己跟吧,总之弄了好半天才把IAT搞好。
三、
去掉无用的区段,修正TLS,把CODE基址改回1000,用LodePE简单优化一下。
里面有些VM搞不定,就直接跳过去了,简单的破解了一下,先用着吧,反正升级的快。


相关链接:
cxlrb转贴:
http://bbs1.pediy.com:8081//showthread.php?s=&threadid=32325&perpage=15&highlight=&pagenumber=1

whynotbar(Rea) 
http://www.unpack.cn/viewthread.php?tid=7402&extra=page%3D1
所上传文件
multitranse.unpacked.by.linex.rar (上传时间2006-10-13,17:44,556.3 KB,46 次点击)
关闭本页
 
首页 | 投资与合作 | 服务条款 | 隐私政策 | 收藏本站 | 设为首页 | 新用户注册 | 免责声明 | 使用帮助
Copyright ©2005-2008 chinaitpower.com All rights reserved. www.chinaitpower.com 版权所有