【脫文標(biāo)題】 手動(dòng)脫殼入門第十七篇 VGCrypt PE Encryptor V0.75
【脫文作者】 weiyi75[Dfcg]
【作者郵箱】 weiyi75@sohu.com
【作者主頁】 Dfcg官方大本營
【使用工具】 Peid,Ollydbg,ImportREC
【脫殼平臺(tái)】 Win2K/XP
【軟件名稱】 VGCrypt PE Encryptor V0.75
【軟件簡介】 This is a fairly simple PE encryptor I wrote up. I commented everything that is relavent to PE appendation or insertion, more so than I needed to even. The most interesting feature of this encryptor is that it attempts to find a location to insert itself between object virtual size and the next file alignment boundary, thus not changing the physical file size.
【軟件大小】 16 KB
【下載地址】 本地下載
Vgcrypt.rar
【加殼方式】 Virogen Crypt 0.75
【保護(hù)方式】 Virogen Crypt資源保護(hù)殼
【脫殼聲明】 我是一只小菜鳥，偶得一點(diǎn)心得，愿與大家分享：)
--------------------------------------------------------------------------------
【脫殼內(nèi)容】
下載這個(gè)程序,用 Vgcrypt Notepad.exe 的命令行方法壓縮了一個(gè)Win98的記事本,倒,原文件大小等于壓縮后大小52K,程序也沒有加密IAT,僅僅搞亂了Code段,讓你無法反匯編,用資源編輯軟件發(fā)現(xiàn)可以編輯資源。
加殼記事本
本地下載
Notepad.rar
首先Peid查殼，為Virogen Crypt 0.75，OD載入運(yùn)行，無任何異常，判斷其為壓縮殼。
0040584C > 9C PUSHFD//記事本外殼入口。
0040584D 55 PUSH EBP
0040584E E8 EC000000 CALL 1.0040593F
00405853 87D5XCHG EBP,EDX
00405855 5D POP EBP
00405856 60 PUSHAD //從這這句過后用ESP定律吧，
00405857 87D5XCHG EBP,EDX //到這里ESP=12ffa0
00405859 80BD 15274000 0>CMP BYTE PTR SS:[EBP 402715],1
00405860 74 39 JE SHORT 1.0040589B
00405862 C685 15274000 0>MOV BYTE PTR SS:[EBP 402715],1
00405869 E9 E4000000 JMP 1.00405952
0040586E - E9 79DAFF90 JMP 914032EC
00405873 D6 SALC
00405874 64:CE INTO; 多余的前綴
00405876 E4 3C IN AL,3C ; I/O 命令
00405878 40 INC EAX
00405879 94 XCHG EAX,ESP
0040587A 65:EC IN AL,DX ; I/O 命令
0040587C ^ 78 8D JS SHORT 1.0040580B
.............................................................
dd 12ffa0
下硬件訪問-Dword斷點(diǎn)。
F9運(yùn)行
硬件中斷。
004058A8 9D POPFD //堆棧平衡
004058A9 8B9A 09274000MOV EBX,DWORD PTR DS:[EDX 402709]
004058AF 898A 09274000MOV DWORD PTR DS:[EDX 402709],ECX
004058B5 FFE3JMP EBX //跳往OEP 4010CC
004010CC55DB 55 //右鍵清除分析
004010CD8BDB 8B
004010CEECDB EC
004010CF83DB 83
004010D0ECDB EC
004010D144DB 44 ; CHAR 'D'
004010D256DB 56 ; CHAR 'V'
004010D3FFDB FF
004010D415DB 15
004010D5. E4634000DD
004010D98BDB 8B
004010DAF0DB F0
004010DB8ADB 8A
004010DC00DB 00
004010DD3CDB 3C ; CHAR '; KERNEL32.GetCommandLineA
004010D9 8BF0MOV ESI,EAX
004010DB 8A00MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22 CMP AL,22
004010DF 75 1B JNZ SHORT 1.004010FC
004010E1 56 PUSH ESI
004010E2 FF15 F4644000CALL DWORD PTR DS:[] ; USER32.CharNextA
004010E8 8BF0MOV ESI,EAX
004010EA 8A00MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0TEST AL,AL
004010EE 74 04 JE SHORT 1.004010F4
004010F0 3C 22 CMP AL,22
004010F2 ^ 75 ED JNZ SHORT 1.004010E1
004010F4 803E 22CMP BYTE PTR DS:[ESI],22
................................................................................
運(yùn)行ImportREC，選擇這個(gè)進(jìn)程。把OEP改為000010cc，點(diǎn)IT AutoSearch，點(diǎn)“Get Import”,函數(shù)都是有效的。FixDump，無法運(yùn)行。倒，用Loadpe重建Pe,正常運(yùn)行。
繼續(xù)OD載入它的主程序。
00408000 > 9C PUSHFD //主程序外殼入口。
00408001 55 PUSH EBP
00408002 E8 EC000000 CALL Vgcrypt.004080F3
00408007 87D5XCHG EBP,EDX
00408009 5D POP EBP
0040800A 60 PUSHAD //從這這句過后用ESP定律吧，
0040800B 87D5XCHG EBP,EDX //到這里ESP=12ffa0
0040800D 80BD 15274000 0>CMP BYTE PTR SS:[EBP 402715],1
00408014 74 39 JE SHORT Vgcrypt.0040804F
00408016 C685 15274000 0>MOV BYTE PTR SS:[EBP 402715],1

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。