神秘脱壳——MoleBox

最新推荐文章于 2019-12-26 10:52:20 发布
最新推荐文章于 2019-12-26 10:52:20 发布
阅读量986 收藏
点赞数
文章标签: 脱壳 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/102639694
版权

查壳:
在这里插入图片描述
脱加密IAT(其实这个也不是加密壳,但是原理差不多)表的三个要素:
1、找到OEP
2、找到正常IAT的位置
3、找到修改IAT的位置
找到这三个地方之后,所有的问题迎刃而解。最后还有一个问题,怎么找IAT,怎么判断找到的是IAT,这个时候就涉及到一个问题:什么是IAT?IAT是导入表里边用来存储要使用的函数的地址,所以,这个问题就解决了,怎么找IAT,找CALL指令指向的地址,当然也可以直接找CALL系统函数的地方,比如说CreateProcess之类的函数。
接下来正式脱壳:
第一步:找OEP
Pushad:ESP定律,ESP下硬件断点,下段之后,单步步入:OEP到位
在这里插入图片描述
顺手可以找到IAT表:
在这里插入图片描述
在这里插入图片描述
可以发现这个时候的IAT表已经是异常状态的了,说明IAT表已经被修改过了,这个时候,在异常的IAT表的地方下硬件写入断点,去掉之前下的ESP硬件断点,记住下断点的地址:
在这里插入图片描述
之后重载程序,记住这个时候要查看一下,硬件写入断点是不是确实存在,如果不存在,重新下硬件写入断点(或者再重载一次),之后dd到你刚才下断点的地址:在这里插入图片描述
下一步,让程序,跑起来(直接F9):跑起来之后要注意,地址窗口的变化,当该地址处出现本来的函数的时候,停下,记录程序的运行地址:在这里插入图片描述
在这里插入图片描述
也就是说,再程序运行到这个地方的时候,IAT表还是正常的,我们的正常的函数的地址存储在寄存器EAX里边:
在这里插入图片描述
记录好这些数据之后,让程序继续跑起来,继续我们的下一项工作,寻找IAT被修改的地方:(F9让程序继续跑起来,同时注意地址窗口数据的变化):
在这里插入图片描述
这个时候,我们同样记录程序的运行地址,记录的是IAT被修改的地址,目前程序运行到4BA0E4的地方,但是这个时候IAT表已经被修改了,所以修改IAT的语句应该是4BA0E2地址的语句。
这样的话,我们的三个工作都已经完成,接下来就是写脚本来修复IAT表:
在这里插入图片描述
在这里插入图片描述
之后,进行脱壳:成功运行
在这里插入图片描述

Psy_Hacker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
MoleBox解包工具(内含图示步骤)
07-20
1.将需要解包的文件elementclient.exe复制到OllyDbg文件夹内。 2.打开目录下的 《甲壳虫VIP会员 专用—0D.exe》。 3.如出现错误提示,点击确定,并在键盘上按 SHIFT+F9进行忽略。如无,请直接跳第4步。 4.选择--插件 --ODbgScript ->”运行Scipt并选择 Molebox 2.x Unpacker and OEP Finder by Cherry.txt。 5.一直点确定。最后一个点是。就自动进行第6步。 6.运行脚本 OK 还需下载 甲壳虫VIP会员 专用—0D.exe
Mole Box V2.6.5脱壳分析
07-14
Mole Box V2.6.5脱壳分析文档,需要的朋友可以拿去参考一下。
脱壳-MoleBox(2.0.0-2.3.0)
谢绝留言与私信
02-01 1213
前言练习了MoleBox(2.0.0-2.3.0)的脱壳, 记录一下脱壳流程点. 找到OEP后, 去看IAT项, 系统DLL地址被换成了壳函数的地址(API redirection). 如果不使IAT项为系统API地址, 运行时闪退.记录查壳Detect It Easy 1.01  => MoleBox(2.0.0-2.3.0)[-]找OEP-----------------------
菜鸡的偷学MoleBox脱壳
weixin_45574485的博客
10-17 696
上午搞到一个MoleBox壳的小程序,下面就来介绍一下这种壳应该怎么脱 将程序用od加载,进去的界面是这样的,有没有很熟悉?pushad,对的,先来个esp大法 已经看到pushad了,说明壳代码已经执行过一次了,那么如果没有多层的壳,下一个call很有可能就是oep,这里,很幸运,call eax进去的就是oep,f7跟进,尝试在此处脱壳(记住oep的值00046C6D,后续有用) 用ia...
MoleBox脱壳
weixin_42539095的博客
12-26 600
复习一下这个壳的脱法,关键在于修复 先esp来到下面 跟进call eax 这里便是OEP,dump之后发现运行有问题,于是查看IAT 可以发现有一些有问题,下硬件断点重载,看啥时候写入 运行到这个位置时发现原先的时候是正确的 说明这个IAT地址发生过改变,单步 单步跟到这里发现有个赋值的指令。改变了IAT nop 至此修复即可 ...
手动脱壳入门第十六篇MoleBox2.x配套动画教程连载
05-20
【手动脱壳入门第十六篇MoleBox2.x配套动画教程连载】 手动脱壳逆向工程中的一个重要环节,主要用于分析和理解恶意软件的行为。在本教程中,我们将重点探讨MoleBox2.x,这是一种流行的加壳技术,常用于保护程序免...
Molebox 2.x Unpacker OEP Finder Script modified by zhupf 脚本
11-25
Molebox 2.x Unpacker OEP Finder Script modified by zhupf 可供OD使用的破解脚本,可直接破解部分exe加密视频,或反汇编破解
MoleBox Pro
12-01
"MoleBox Pro"是一款专为Windows系统设计的软件打包工具,它允许用户将exe可执行程序及其相关的资源文件整合成一个单一的exe文件。这样的功能对于开发者和软件发布者而言非常实用,因为它使得最终用户无需担心依赖...
Molebox 2.x Unpacker and OEP Finder by Kelvar
11-25
Molebox 2.x Unpacker and OEP Finder by Kelvar 第二个好用的破解文档 供OD使用,可直接破解部分exe加密视频,或反汇编破解
MoleBox自动解包.rar
07-28
MoleBox自动解包.rar
解包软件molebox-4.0系列 -v0.30.zip
04-10
本软件可以解包Molebox4X系列所有版本的封包,仅适用在4X版本的基础。2X有相应的解包工具,所以需要对应自已要解封包的版本是属于哪个系列的在下载,下载错的自已负责咯!
可执行文件打包工具-Molebox 4.1290 绿色汉化破解版.
05-24
MoleBox 是一个 Windows 应用程序的运行时可执行文件打包工具。它可以将一个应用程序及其需要的所有数据文件打包为一个可执行文件。MoleBox 也允许你用一套数据包创建一个可执行文件就像整合动态链接库到可执行文件一样。 当处理一套应用程序时,MoleBox 可以压缩并加密可加密的文件、数据和媒体文件及动态链接库。您可以用MoleBox 保护您的应用程序的数据和媒体文件,防止查看和改动,并防止您的动态链接库被第三方程序使用。 Molebox 不会影响原始应用程序的任何功能,也不需要任何额外的编程。解压和解密(如果必需)是自动进行的,运行应用程序时感觉不到。
molebox解包器
09-12
提取被molebox打包的程序, 使molebox提取更容易
MoleBox自动解包
05-24
里面有 od 和脚本 还有使用方法,在别的地方下载的,本人是转载。
手动脱Mole Box壳实战总结
Fly20141201. 的专栏
07-17 2050
作者:Fly2015 这个程序是吾爱破解脱壳练习第8期的加壳程序,该程序的壳是MoleBox V2.6.5壳,这些都是广告,可以直接无视了。前面的博客手动脱Mole Box V2.6.5壳实战中已经给出了一种比较笨的脱壳的方法,在进行脱壳程序的IAT表的修复的时,采用的是手动记录系统API的地址然后手动的去恢复被加密的系统API的方法,很挫。下面就来讲一讲稍微好点的修复IAT表的方法。  
MoleBox9x(可执行文件打包工具)V2.7.0.3682汉化绿色特别版
11-10
  MoleBox9x 就是 MoleBox 的最新升级版,MoleBox9x 是一个 Windows 应用程序的运行时可执行文件打包工具。它可以将一个应用程序及其需要的所有数据文件打包为一个可执行文件。MoleBox 也允许你用一套数据包创建一个可执行文件就像整合动态链接库到可执行文件一样。 当处理一套应用程序时,MoleBox9x 可以压缩并加密可加密的文件、数据和媒体文件及动态链接库。您可以用 MoleBox 保护您的应用程序的数据和媒体文件,防止查看和改动,并防止您的动态链接库被第三方程序使用。 MoleBox9x 不会影响原始应用程序的任何功能,也不需要任何额外的编程。解压和解密(如果必需)是自动进行的,运行应用程序时感觉不到。 使用技巧: MoleBox9x 是一款实时 EXE 封包工具,可以将 Windows 平台上的应用程序与其辅助数据及运行组件合成封包为一个单一的文件,封包后的文件仍能完好运行。MoleBox9x 提供两种封包方式:x1+x2+x3+...+x99=y1 以及 x1+x2+x3+...+x99=y1+y2。前者系将加载器与外部数据合成打包,适合封包“伪绿色软件” - 你可以把带一大堆库文件及外部数据的软件封包为只有1个EXE的软件。而后者的y1代表加载器,y2代表外置数据包,在封包较大的东东时可以有效。 常见问题: MoleBox9x 并不能封包一切软件,即使软件是绿色软件。能否使用 MoleBox9x 来封包,只有封包完了运行才知道。 注册说明: 软件已经破解,随意输入注册信息进行注册。
HA_MoleBoxPro-CRK_CZ(文件整合工具)
09-28
HA_MoleBoxPro-CRK_CZ(文件整合工具)
手动脱Mole Box V2.6.5壳实战
Fly20141201. 的专栏
07-13 3015
作者:Fly2015 这个程序是吾爱破解脱壳练习第8期的加壳程序,该程序的壳是MoleBox V2.6.5壳,之前也碰过该种壳但是这个程序似乎要复杂一点。   首先对加壳程序进行侦壳处理。 Exeinfo PE侦壳的结果: DIE侦壳的结果,很显然DIE告诉我们被加壳程序的源程序使用Delphi编写的,这个比较有用,对于我们找到程序的真实OEP很有帮助作用。 O
molebox傻瓜解包
最新发布
01-11
Molebox傻瓜解包是一种解压缩Molebox虚拟化应用程序的工具。Molebox是一种软件虚拟化技术,它把所有的应用程序文件和资源都打包成一个单独的可执行文件。这种虚拟化技术可以提高应用程序的安全性,防止被破解或盗版...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值