Obsidium V1.3.0.4 脱壳

最新推荐文章于 2024-05-06 15:13:09 发布
最新推荐文章于 2024-05-06 15:13:09 发布
阅读量265 收藏
点赞数
原文链接:http://www.cnblogs.com/zcc1414/p/3982468.html
版权

【文章标题】: Obsidium V1.3.0.4

【文章作者】: 
【下载地址】: 自己搜索下载
【加壳方式】: Obsidium 1.3.0.4 -> Obsidium Software [Overlay]
【编写语言】: VC6.0
【使用工具】: 一蓑烟雨OllyDbg 等等
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】

试过了很多的OD都不行,只有一蓑烟雨的OD下  硬件断点才能断下来!

OD  F9  运行可以 通过  

OB壳对内存有检查,修改内存属性为  REW

搜索 00401000   

搜索VC 的特征码:  随便选择 好用就行

00496EB8 >/$  55            PUSH EBP                                 ;  (初始 cpu 选择)
00496EB9  |.  8BEC          MOV EBP,ESP
00496EBB  |.  6A FF         PUSH -1
00496EBD  |.  68 40375600   PUSH Screensh.00563740
00496EC2  |.  68 8CC74900   PUSH Screensh.0049C78C                   ;  SE 处理程序安装
00496EC7  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00496ECD  |.  50            PUSH EAX
00496ECE  |.  64:8925 00000>MOV DWORD PTR FS:[0],ESP
00496ED5  |.  83EC 58       SUB ESP,58

在程序中搜到:

0040533B    64:A1 00000000   MOV EAX,DWORD PTR FS:[0]
00405341    50               PUSH EAX
00405342    64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00405349    83EC 68          SUB ESP,0x68
0040534C    53               PUSH EBX
0040534D    56               PUSH ESI
0040534E    57               PUSH EDI
0040534F    8965 E8          MOV DWORD PTR SS:[EBP-0x18],ESP
00405352    33DB             XOR EBX,EBX
00405354    895D FC          MOV DWORD PTR SS:[EBP-0x4],EBX
00405357    6A 02            PUSH 0x2
上面几行被偷了

还有IAT  没有显示:

00406000  009F0414
00406004  009F0420
00406008  009F0000

··························这里省略
00406168  009F0294
0040616C  009F02A0
00406170  009F02AC

调向  009F0414

有很多jmp   当 看到  je判断时   je过去 下断  然后继续

知道看到显示  函数地址IAT


知道IAT的流程后  写脚本:

var fi
var fix
var oep
var tmpesp


mov oep,eip
mov tmpesp,esp
mov fi,405ffc
loop:
mov esp,tmpesp
add fi,4
cmp fi,00406174
jae exit
mov fix,[fi]
cmp fix,10000000
jae loop
mov eip,fix
esto
cmp eip,00995003 //此处为 显示函数地址的 左边的地址
jnz loop
mov [fi],eax
jmp loop

exit:
mov eip,oep
mov esp,tmpesp
ret

得到IAT后    复制二进制

重来

粘贴二进制  IAT

修复  代码头

LOADPE  IMPORT  (注意  import  要切除无用指针)








转载于:https://www.cnblogs.com/zcc1414/p/3982468.html

weixin_30773135
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
UnObSiDium.rar
01-17
ObSiDium脱壳机 很强大! 你不信那就试试看咯~~~~~~~~
Obsidium(软件保护系统)v1.6.8Build332位中文安装免费版
07-25
Obsidium是一款非常好用且功能强大的软件保护和许可系统,对于开发者来说软件被人修改是一个很麻烦的事情,使用这款软件就可以大大地加强软件的安全性,降低被修改或者破解的难度了,而且还可以添加软件许可,软件内置了丰富的保护方案供大家参考,拥有许可证生成自动化、代码虚拟、反汇编等多种功能,需要此款工具的朋友们欢迎前来下载使用。 Obsidium 64位下载 软件特色 1、应用程序代码和数据的加
完美脱壳组装PE的一般步骤(Obsidium1.3.6.4 DEMO 主程序)
weixin_33788244的博客
04-11 254
最近学习了天草视频。记录一下笔记。 Obsidium1.3.6.4DEMO版本主程序下载地址:http://download.csdn.net/detail/whatday/5244425 前期准备工作: 这里主要记录的完美脱壳的PE组装的一些步骤,脱壳部分用脚本带过。 一般脱壳的OD脚本如下:(跳过脚本) /* repair Obsidium 1.3...
Obsidium v1.5.4壳 逆向分析
最新发布
Misaka10046的博客
05-06 352
RemoveVectoredExceptionHandler 删除刚刚的异常处理函数。结构体偏移B8位置为新线程的EIP 在新EIP位置下一个断点。观察Zwcontinue函数传进去的Context结构体。可以在CE中查找指令地址 来得到当前真正执行的指令。使用aesenc 指令集 对数据进行AES解密。样本是使用这个壳进行打包的 来进行逆向。通过遍历DLL 导出表的方式来获取函数地址。跳出来之后 再经过一个异常就能进入主程序。马上就来个int 1进入异常处理函数。但是脱壳还是不会 太菜了。
Obsidium 1.3.5.0
Linhanshi Blog
10-28 808
 From:CRACKL@Bby:pavkahttp://www.obsidium.de/download/ObsidiumSetup.exehttp://rapidshare.com/files/65710951/Obsidiumunpacked.rar
Obsidium v1.3.6.4.rar
10-14
Obsidium v1.3.6.4很好的加密工具,喜欢的请下载。
Obsidium 1.3.5.0.rar
10-19
Obsidium 1.3.5.0.rar
Obsidium1.3.6.4 DEMO版本主程序
04-10
Obsidium1.3.6.4 DEMO版本主程序
软件加壳围护墙Obsidium 1.3.
12-05
加壳软件
Eziriz.NET.Reactor.v4.6.0.0.Cracked.by.yoza[UpK]
06-30
Eziriz.NET.Reactor.v4.6.0.0破解版!
OBSIDIUM V1.25 Code Injection
loveboom's Reverse Enginering
05-01 2183
OBSIDIUM V1.25 Code Injection【目     标】: 超级自动注册申请王 V1.9【工     具】:【任     务】:不脱壳代码注入破解 【操作平台】:Win2003【作     者】: LOVEBOOM[DFCG][FCG][US]【相关链接】: http://www2.skycn.com/soft/21992.html【简要说明】: 上午看到FLY的那篇文章,GO
多种脱壳软件
07-18
一.脱壳机名字的由来 skylly's CoolDumpper,借用了看雪论坛里高人某个让人流口水的工具的名字 界面也是盗版的CoolDumpper,不过本人盗版技术不高,做成了个四不像~~ 二.脱壳机的原理 由以下几大要部分组成, 1.侦壳功能. 完全拷贝自看雪论坛“任平生”的代码 2.Dummpper(进程转存) 初期,完全拷贝自lenus的lenus's Dummper代码, 现在为了适应脱壳的需要,发现原来的代码对非标准格式的PE文件的处理有些小问题, 所以代码基本都重写过了,但是基本处理步骤还是一致的,外表上看不出来 3.cooldebugger plugin(调试插件) 完全自主开发的插件,说是调试其实没有用调试,而是注入,然后进行一些最简单的内存操作,没有 什么技术含量,可以完美躲过调试检测的壳,对于内存检验比较强的壳可能不是很好用。 4.真正意义上的调试 用最简单的调试API做的一个具有基本功能的调试,目前还不能用于脱壳,只是一个玩具,为了将来扩展用的。 但是hook api始终不是很妥当,总会让壳有机可乘,以后可能会考虑加入驱动,驱动最让我不放心的是它的稳定性。 三,关于源码 由于还在开发中,暂不开源(主要是怕被人拿去篡改,反而让人以为他是正宗,我是盗版) 等到我不再开发时,会开放全部源代码,技术这东西,共享才是王道。 四。使用说明。 我想不用说太多了吧,选择目标文件后(支持拖放),再选择对应的插件,再点击脱壳按钮就可以了。可以说是接近傻瓜化了... 几个子功能说明: 详细日志:是调试用的 PE标准化:是对某些被改得乱七八糟的壳(如upack)进行简单的PE修复 移除自校验:这个功能可以说是没有设计好,不同的壳自检验的地方不一样, 所以处理也应该不一样,可按照现有的工作模式又不可能把它做到plugin(插件)里面去, 但是,总之我会加进去的。 第x次调用API中断:这个功能是从CoolDumpper那儿抄袭界面遗留下来的,光有界面,未实现功能,将来如果有自动脱壳搞不定 的壳时,可能可以把这个地方扩展成手动脱壳。 OEP输入框和IAT输入框:功能已经弱化,由脱壳插件自动完成。 纠正映象大小:功能已经弱化,已经由dumpper自动完成。 五。关于private版本. 由于种种原因,不再发布public版本,仅作为私下交流之用。 所谓私下交流,可以算一种"精华"门槛吧. 1.看雪论坛或者一蓑烟雨,30精以上的朋友(高手)或者500帖以上的朋友(超级水牛),或者30贴以内且精华率在1/3以上的(超级高手)随时可以向我索要最新版。不过我相信高手们只会把我这个东西当玩具玩玩而已。 2.在使用这个脱壳机过程中遇到比较严重的问题或者不能脱的壳,可以来E-mail和我交流,欢迎技术交流,谢绝任何形式的脱壳请求, 因为我只是个菜鸟。对于有价值的来信,我会酌情回复最新版脱壳机。 得到这个脱壳机的人,任由其处置。 六。开发目标 开发常见压缩壳和加密壳的插件并实现自动脱壳。 压缩壳插件做十个左右,加密壳插件做二十个左右。 压缩壳插件: upx, upack, aspack, nspack, mew, hmimys, pecompact, expressor, fsg, kbys, packman, PEncrypt (已经基本完成。) 加密壳插件:(还没想好,暂定, 刚刚开始开发) pe-armor, armadillo, aspr, acpr, telcok, execrypt, pelock, pc-guard, morphine, safedisc, themida, enigma, obsidium, starforce, yoda_s_cryptor, epe, pespin, svkp, sdp.............. 预估主程序最终版本版本号:2.0 预估所有插件最终版本号:0.3 已知bug: 1.由于修复输入表是用的ImpRec.dll这个动态链接库,我没有源码,它在处理某些IAT不连续的程序时,获取的IAT的大小有问题,所以暂时还没 有解决方案来对付,等我复习好输入表结构,以后脱壳机就自己来重建输入表了,呵呵。 2.无法对付多层壳. 3.处理自校验有问题,请不要随便选中,否则后果自负 现在发布的这个版本仅仅代表了一个脱壳机的起步阶段,当玩具吧。
ASProtect 1.2x - 1.3x脱壳教程
09-11
ASProtect 1.2x - 1.3x脱壳教程
Obsidium一键编码作业,Obsidia惊人属性
q2315702359的博客
02-20 458
根据您的独特要求,您可以选择短许可证密钥和长许可证密钥(分别使用RSA和椭圆曲线密码),这些密钥可以以二进制或文本形式提供给您的客户端。程序代码和信息的加密、压缩和混淆:为了防止对磁盘上的应用程序文件进行反汇编和静态评估或更改,您的程序代码和数据将使用强大而快速的密码(AES)进行编码,并确认其自身的完整性。透明的系列保护:Obsidia的链保护功能允许您透明地隐藏程序期间使用的字符串常量,方法是将它们从其内存位置中删除,并将其放入安全代码中,从而使受保护软件的评估更加耗时。
Obsidium 1.3重定位修复(不用补区段)
pklong008的博客
08-07 1393
Obsidium 1.3重定位修复(不用补区段) 最近在看OB的脱壳教程,(天草壳世界),还有ximo的OB教程,今天利用空余时间,终于把程序修复成功,记录如下: 找到VirtualAlloc,VirutalProtect,利用这几个函数来找到重定位的地方,然后把重定位处理的代码用xor来代替. 到伪OEP,然后把重定位的整
Obsidium V1.3.5.2 unpacked
Linhanshi Blog
12-16 669
 From:CRACKL@Bby:pavkahttp://rapidshare.com/files/76770892/ObsidiumU_.rar
脱壳基础知识入门
adam001521的博客
11-30 1853
脱壳基础知识入门 现在加解密发展己形成2个分支了,一个就是传统的算法,另一个就是加密壳。越来越多的软件采用了密码学相关算法,现在要做出一个软件注册机己不象前几年那么容易,这就要求解密者必须要有一定的数学功底和密码学知识,而这些在短时间内是不容易掌握的。除了密码学的应用,越来越多的软件加壳了,因此要求解密者必须掌握一些脱壳技术,这就使得壳成了解密必须迈过的一个门槛。壳发展到今天,强度越来越高了,将...
Enigma Protector脱壳学习记录
pklong008的博客
08-07 8438
Enigma Protector脱壳学习记录 空间 步聚: 1:由于ENG这个壳是由一个DLL来实现加壳,因此F2断点很容易被检测,所以下二次断点, 第一次下VirtualAlloc下断,断下后在401000处下硬件写入断点,断下,找到解码的地方,然后F2到这个写入函数的RETN处,执行,然后查DELPHI第一个CALL,发现有些CALL还没解码
DLL文件脱壳(重定位表修复部分)
热门推荐
yizhenweifeng的专栏
02-15 1万+
标 题:DLL文件脱壳(重定位表修复部分)作 者:kanxue 时 间:2008-03-16 10:42 链 接:http://bbs.pediy.com/showthread.php?t=61334   13.5 DLL文件脱壳   DLL文件的脱壳与EXE文件步骤差不多,所不同的是,DLL文件多了个基址重定位表等要考虑。   在2003年出版的《加密与解密》(第二版)中以

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值