脱壳系列(四) - eXPressor 壳

最新推荐文章于 2023-06-18 13:11:16 发布
最新推荐文章于 2023-06-18 13:11:16 发布
阅读量311 收藏
点赞数
原文链接:http://www.cnblogs.com/sch01ar/p/9908237.html
版权

先用 PEiD 查一下壳

用 OD 载入程序

这里有一串字符串,是壳的名称和版本号

按 Alt+M 显示内存窗口

这里只有三个区段,后面两个是壳生成的,程序的代码段也包含在里面

利用堆栈平衡

按 F8 往下走一步

然后到数据窗口中设置断点

选择 -> 断点 -> 硬件访问 -> Dword

然后跑一下程序

弹出了一个窗口,点击“确定”

 

eax 中存放着 OEP 的地址

按 F8 执行 jmp 跳转,来到程序 OEP 处

右键

 选择 Dump debugged process

点击“Dump”进行保存

打开 LordPE

点击 “PE 编辑器”

选择刚才保存的文件

代码基址修改为 1000

点击“区段”

删除区段“.ex_cod”

然后保存并重建文件

 运行程序

没有弹出刚才那个对话框了

用 PEiD 查看

VC++ 5.0

 

转载于:https://www.cnblogs.com/sch01ar/p/9908237.html

andiao1218
关注
利用AI+大数据的方式分析恶意样本(十
至臻求学,胸怀云月
05-30 1564
二进制样本分析之脱壳方法研究
eXPressor 1.7.0
08-10
09免杀 09压缩 eXPressor 1.7.0
脱壳工具下载 脱壳工具下载器 v1.0
11-10
脱壳工具下载器,具有丰富的资源,只要点击下拉选择工具类型,双击即可下载,软件使用特别简单,只需下载即可使用,赶快下载吧!
解剖一(exPressorV1.0)
潜心学习
09-15 1759
其实逆向主要还是得自己理解,贴一段代码加几条注释的话我还不如直接把idb或者udd文件直接发上来吧, 附件里面有  加软件exPressorV1.0 加后的win98记事本(去掉垃圾指令和没去的都有) IDB文件(IDA版本为6.1, 32位) UDD文件 猛击此处下载附件
通用脱壳工具
04-18
下面是我粗略测试后,能通过的列表,对于保护,有可能定位到OEP: ACProtect 1.09、1.32、1.41、2.0 AHPack 0.1 ASPack 102b、105b、1061、107b、1082、1083、1084、2000、2001、21、211c、211d、211r、212、212b212r ASProtect 1.1,1.2,1.23RC1,1.33,1.35,1.40,SKE.2.11,SKE.2.1,SKE.2.2,2.3.04.26,2.4.09.11 Alloy 4.1、4.3 alexprot 1.0b2 Beria 0.07 Bero 1 BJFNT 1.2、1.3 Cexe 10a、10b DragonArmor 1 DBpe 2.33 EPPort 0.3 eXe32Pack 1.42 EXECrypt 1 eXeStealth 2.75a、2.76、2.64、2.73、2.76、3.16(支持,但效果不是很好) ExeSax 0.9.1(支持,但效果不是很好) eXPressor 1.4.5.1、1.3(支持,但效果不是很好) FengYue'Dll unknow FSG 1.33、2.0、fsg2.0bart、fsg2.0dulek GHF Protector v1.0(支持,但效果不是很好) Krypton 0.2、0.3、0.4、0.5(For ALL 支持,但效果不是很好) Hmimys Packer UnKown JDProtect 0.9、1.01、2.0 KByS unknow MaskPE 1.6、1.7、2.0 MEW 11 1.0/1.2、mew10、mew11_1.2、mew11_1.2_2、mew5 molebox 2.61、2.65 morphine 2.7(支持,但效果不是很好) MKFpack 1 Mpress UnKown Mucki 1 neolite 2 NCPH 1 nsapck 2.3、2.4、3.1 Obsidium 1.0.0.69、1.1.1.4(For ALL 支持,但效果不是很好) Packman UnKown PCShrink 0.71 PC-Guard v5.0、4.06c PE Cryptor 1.5 PEBundle 2.3、2.44、3.0、3.2 PE-Armor 0.46、0.49、0.75、0.765 PECompact 1.x PEDiminisher 0.1 PELock 1.06 PEncrypt 4 pepack 0.99、1.0 PELockNt 2.01、2.03、2.04 PEtite 1.2、1.3、1.4、2.2、2.3 PKlite32 1.1 PolyCryptA UnKown peshield 0.2b2(支持,但效果不是很好) PESpin 0.3(支持,但效果不是很好)、0.7、1.1、1.3 PEX 0.99 PolyCrypt PE 1.42 PUNiSHER 1.5(支持,但效果不是很好) RLPack 1.1、1.21,1.6、1.7、1.8 Rubbish 2 ShrinkWrap 1.4 SDProtector 1.12、1.16 SLVc0deprotector 0.61(支持,但效果不是很好)、1.12 SimplePack 1.0、1.1、1.2 SoftSentry 3.0(支持,但效果不是很好) Stealth PE 1.01、2.1 Stone's PE Encryptor 1.13 SVKP 1.11、1.32、1.43 ThemidaDemo 1.0.0.5 teLock 0.42、0.51、0.60、0.70、0.71、0.80、0.85、0.90、0.92、0.95、0.96、0.98、0.99 Upc All Upack "0.1、0.11、0.12、0.20、0.21、0.22、0.23、0.24、0.25、0.26、0.27、0.29、 0.30、0.31、0.32、0.33、0.34、0.35、0.36、0.37、0.38、0.39、0.399" UPolyX 0.2、0.5 UPX "0.51、0.60、0.61、0.62、0.71、0.72、0.80、0.81、0.82、0.83、0.84、0.896、 1.0w、1.03、1.04、1.25w、2.0w、2.02、2.03、3.03、UPX-Scrambler RC1.x" V2Packer 0.02 VisualProtect 2.57 Vprotector 1.2 WindCrypt 1.0 wwpack32 v1.20、v1.11、v1.12 WinKript 1 yoda's cryptor v1.1、v1.2 YZPACK 2.0 yoda's Protector v1.02、v1.03.2、v1.03.3、v1.0b
eXPressor v1.8.0.1
05-05
eXPressor v1.8.0.1 天草世界19课所需软件
eXPressor 1.6.0.1
Linhanshi Blog
03-08 987
eXPressor 1.6.0.1引用:v1.6.0.1 released on [08 mar 2008] - fixed a bug when working with trial expiration without using API interface;- now you have the possibility to create on-line keygenerato
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
最新发布
书山有路勤为径,学海无涯苦作舟
06-18 6449
历史:是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机,目前公认认为公认最强。温馨提示:脱壳上瘾,可不要随意传播哦!
新老压缩/加密大全洪雨收集推荐
weixin_30682415的博客
09-11 1118
upx、aspack、fsg、Aspack Scrambler、ExeStealth、ID Application Protector、V2Packer、WWPack32、XComp0.98、bambam、BeRoEXEPacker、dePACK、ExeShield Protector、KByS、NsPacK、tElock、yoda's Nspack PECompect Petite ...
Shell俗称
tao_wei162的博客
12-08 278
shell   (计算机层) 编辑 锁定   在计算机科学中,Shell俗称(用来区别于核),是指“提供使用者使用界面”的软件(命令解析器)。它类似于DOS下的command和后来的cmd.exe。它接收用户命令,然后调用相应的应用程序。   中文名 外文名 shell 性    质 命令解析器 用    途 接收用户命令 目录 1 术...
eXPressor v.1.3
06-22
压缩\eXPressor v.1.3.exe
脱壳工具 NET-脱壳去混淆-de4dot-Reactor5.0 By ddk313
03-18
-p xc 指定类型 , 这里是xc,表示Xenocode. 这样会在exe的相同目录生成一个 xx_cleaned.exe 的文件 要指定输出路径请使用 -o "d:\output\xx.exe" 6.其他 小窍门:如果在使用de4dot的过程中碰到如
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱壳_vmp3.0-3.0x脱壳_vmp一键脱壳_v
07-15
VMP脱壳,通过简单几个步骤不需要去研究VMP的原理了。
加密解密:脱壳手记---Themida(2.1.2.0)分享.pdf
02-16
加密解密:脱壳手记---Themida(2.1.2.0)分享.pdf
zeus.rar_.svmp_ZEUS脱壳_Zeus脱_vmp官网_vmp插件
07-14
大牛的脱VMP的插件,一般的VMP都能脱掉
.net脱壳神器---de4dot
09-25
.NET脱壳神器——de4dot,是一款专门针对.NET程序的反混淆工具,由著名安全研究者Jitender Singh创建。它的主要功能是去除.NET程序中的混淆代码,还原原本清晰的IL(中间语言)代码,使得代码更易于理解和分析。本文...
工具简介
Hank's Techblog
10-15 4145
<br />1.程序编写语言: <br />常见的程序制作语言有:<br />Borland Delphi 6.0 - 7.0<br />Microsoft Visual C++ 6.0<br />Microsoft Visual Basic 5.0 / 6.0<br />还有汇编、易语言等。 很多软件都通过加保护来提高软件的破解难度,下面我们简单的介绍一下加工具。 <br />2.软件加工具介绍: <br />II 压缩介绍: <br />常见压缩有:ASPack、UPX、PeCompact、N
压缩和低强度加密的万能脱壳
zhangmiaoping23的专栏
07-18 3057
OEP内存断点万能脱壳法 对于压缩和低强度加密经过一段时间的研究发现有一种万能的脱壳方法--OEP内存断点万能脱壳法。什么是压缩和低强度加密呢?所谓压缩和低强度加密是指能用PEiD的查找OEP插件找到OEP的,具体的种类有很多,经本人试验有以下这些upx、aspack、fsg、Aspack Scrambler、ExeStealth、ID Application Protecto
脱壳艺术:逆向工程与的对抗
"脱壳的艺术,一本深入讲解脱壳技术的PDF教程,旨在介绍逆向工程中的和反逆向策略。" 在计算机安全和逆向工程的领域中,"脱壳"是一项至关重要的技能,它涉及到对软件进行深度分析以揭示其内部工作机制,尤其是在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值