首页
论坛
课程
招聘
Hying's pelock v0.7x脚本
2005-5-4 14:35 10096

Hying's pelock v0.7x脚本

2005-5-4 14:35
10096
使用前的申明:这个脚本只能用于v0.7x,因为我也是黑箱操作的,我并不知道具体是0.7多少,只知道最近出来的那几个v0.7x没有用,对阿达连连看之类的有用。试过xxx2.52没有用。因为osc插件本身出了点小问题,所以有时得到的结果并不理想,如果你对这个脚本有什么好的方法,欢迎后面跟贴,谢谢!!
/*
//////////////////////////////////////////////////
        Hying'pelock unpack script(only for v0.7x) v0.1
        Author:        loveboom
        Email : loveboom#163.com
        OS    : WinXP sp1,Ollydbg 1.1,OllyScript v0.92
        Date  : 2005-3-20
        Action: 停在Stolen Code处
        Config: Ignore all exceptions
        Note  : If you have one or more question, email me please,thank you!
//////////////////////////////////////////////////
*/
var addr
var GMHaddr
var jtoaddr
var count
var patchiataddr
var patchiatsize
var cbase
var csize
var siataddr
var dllname
var tmpval
#log
start:
  msgyn "设置:忽略全部异常,继续吗?"
  cmp $RESULT,1
  je lbl1
  ret

lbl1:
  dbh
  gmi eip,CODEBASE
  mov cbase,$RESULT
  gmi eip,CODESIZE
  mov csize,$RESULT

  gpa "CreateFileA","kernel32.dll"
  mov addr,$RESULT
  find addr,#C21C00#   //查找返回处
  mov addr,$RESULT
  bp addr
  esto

lbl2:
  bc addr
  gpa "GetModuleHandleA","kernel32.dll"
  mov GMHaddr,$RESULT
  bprm $RESULT,FF
  esto
  bpmc

lbl3:
/*
查找命令
  MOV BYTE PTR DS:[EDI],68
  MOV DWORD PTR DS:[EDI+1],ESI
  MOV BYTE PTR DS:[EDI+5],0C3
  ADD EDI,6
  MOV DWORD PTR SS:[ESP-4],EDI
*/
  find eip,#C60768897701C64705C383C706897C24FC#
  cmp $RESULT,0
  je lblabort
  mov addr,eip
  mov jtoaddr,$RESULT
  fill eip,1,e9
  sub jtoaddr,eip
  sub jtoaddr,5
  inc addr
  mov [addr],jtoaddr   //改成push api ret 的方式

lblcanti1:
  gpa "ZwSetInformationThread","ntdll.dll"
  cmp $RESULT,0
  je lbleros
  asm $RESULT,"ret 10"

lblgetvinfo:
  gpa "VirtualAlloc","kernel32.dll"
  bp $RESULT
  mov count,5

lblloop1:
  cmp count,0
  je lblloginfo
  dec count
  esto
  jmp lblloop1

lblloginfo:
  bc $RESULT
  mov patchiatsize,esp
  add patchiatsize,8
  mov patchiatsize,[patchiatsize]
  rtu
  mov patchiataddr,eax

lblcp1:
  gpa "lstrcmpA","kernel32.dll"  
  mov addr,$RESULT
  fill addr,1,b8    //让壳检测为没有特殊函数
  inc addr
  mov [addr],1
  add addr,4
  asm addr,"ret 8"
  bp addr
  esto

lbl4:
  bc addr
  rtu

/*
59490F85????????E9????????E80A
  POP ECX
  DEC ECX
  JNZ @B
  JMP Next_DLL
  CALL xxxxxx
*/
  find eip,#59490F85????????E9????????E80A#
  cmp $RESULT,0
  je lblabort
  mov addr,$RESULT
  add addr,d
  bp addr
  esto

lbl5:
  bc addr
  go GMHaddr
  rtu
  mov eax,0       //让壳认为没有ntdll.dll文件
  gpa "SetThreadPriority","kernel32.dll"
  bp $RESULT

lbl6:
  esto
  esto
  esto

lbl7:
  bc $RESULT
  rtu
  sto
/*
  POPAD
  PUSH EAX
  PUSH EDX
  PUSH ECX
*/
  find eip,#61505251#
  cmp $RESULT,0
  je lblabort
  go $RESULT
/*
  CMP EAX,40000
  JBE SHORT 003764BE
  ADD ESP,0C
  RETN
*/
  repl eip,#3D00000400760483C40CC3#,#3D00000400EB0483C40CC3#,500
  bprm cbase,csize
  eob lbl8
  ti

lbl8:
  bpmc
  cmt eip,"现在你可以打开Trace窗口尝试找回壳所抽代码."
  msgyn "是否让脚本尝试修复iat?(尝试修复时必须手工输入保存iat的起始地址.一般可用最后一

个section),这将需要几分钟时间."
  cmp $RESULT,0
  je lblend
  ask "请写iat所要保存的起始地址:"
  cmp $RESULT,0
  je lblend
  mov siataddr,$RESULT
  add patchiatsize,patchiataddr
  mov addr,patchiataddr

lblfixiatloop:
  find addr,#FF35????????813424????????C3#
  cmp $RESULT,0
  je lblexitloop
  mov addr,$RESULT
  add addr,d
  mov [addr],#83c404c3#
  jmp lblfixiatloop

lblexitloop:
  mov addr,cbase
  log patchiatsize
  log patchiataddr

lblfixloop1:
  find addr,#90e9#
  cmp $RESULT,0
  jne lble9fix
  find addr, #90E8#
  cmp $RESULT,0
  jne lble8fix
  
  ret

lblend:
  msg "Script finished,Script by loveboom[DFCG][FCG][US],Thank for using my script!"
  ret
lbleros:
  msg "本脚本只能在Winnnt系统下运行!" //其实这里没有用的,因为没有ntdll.dll时脚本插件就会

报错
ret

lblabort:
  msg "脚本只能用于v0.7x.:-(!"
  ret

lble9fix:
   mov addr,$RESULT
   mov jtoaddr,addr
   add addr,2
   mov tmpval,[addr]
   add tmpval,jtoaddr
   add tmpval,6
   log tmpval
   cmp tmpval,patchiataddr
   jb lblfixloop1
   cmp tmpval,patchiatsize
   ja lblfixloop1
   dec addr
   fill addr,1,0e8
   mov eip,addr
   cob
   sto
   mov addr,esp
   sub addr,8
   mov addr,[addr]
   inc addr
   mov addr,[addr]
   gn addr
   cmp $RESULT,0
   je lblfixloop1
   cmp dllname,$RESULT_1
   je lble9sub1
   mov dllname,$RESULT_1
   add siataddr,4
   
lble9sub1:
  mov [siataddr],addr
  mov tmpval,jtoaddr
  fill tmpval,1,ff
  inc tmpval
  fill tmpval,1,25
  inc tmpval
  mov [tmpval],siataddr
  mov addr,tmpval
  add addr,4
  add siataddr,4
  jmp lblfixloop1

lble8fix:
   mov addr,$RESULT
   mov jtoaddr,addr
   add addr,2
   mov tmpval,[addr]
   add tmpval,jtoaddr
   add tmpval,6
   cmp tmpval,patchiataddr
   jb lblfixloop1
   cmp tmpval,patchiatsize
   ja lblfixloop1
   dec addr
   mov eip,addr
   cob
   sto
   mov addr,esp
   sub addr,8
   mov addr,[addr]
   inc addr
   mov addr,[addr]
   gn addr
   cmp $RESULT,0
   je lblfixloop1
   cmp dllname,$RESULT_1
   je lble8sub1
   mov dllname,$RESULT_1
   add siataddr,4
   
lble8sub1:
  mov [siataddr],addr
  mov tmpval,jtoaddr
  fill tmpval,1,ff
  inc tmpval
  fill tmpval,1,15
  inc tmpval
  mov [tmpval],siataddr
  mov addr,tmpval
  add addr,4
  add siataddr,4
  jmp lblfixloop1

看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

收藏
点赞0
打赏
分享
最新回复 (20)
雪    币: 200
活跃值: 活跃值 (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
二点 活跃值 1 2005-5-4 14:40
2
0
强。。
雪    币: 5536
活跃值: 活跃值 (56)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
forgot 活跃值 26 2005-5-4 14:51
3
0
唉,又一个变态妖化了……
雪    币: 201
活跃值: 活跃值 (29)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
cyclotron 活跃值 17 2005-5-4 14:54
4
0
loveboom...
除了佩服还能说什么呢
雪    币: 228
活跃值: 活跃值 (143)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
五哥 活跃值 2005-5-4 15:02
5
0
网上的许多外挂又惨了。。

除了佩服什么都没有了。。
雪    币: 199
活跃值: 活跃值 (160)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
KuNgBiM 活跃值 66 2005-5-4 15:05
6
0
哪叫他是"loveboom"呢~~~~牛哥啊~~~~!!
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
UPX 活跃值 2005-5-4 15:06
7
0
如果不是地方保护主义
hying的壳早就被公开XX
雪    币: 202
活跃值: 活跃值 (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
277782011 活跃值 2005-5-4 15:15
8
0
呵呵,这个要试试~!
雪    币: 106
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
jskew 活跃值 1 2005-5-4 16:16
9
0
传神外挂可以脱吗?
雪    币: 230
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
kimmal 活跃值 1 2005-5-5 01:44
10
0
最初由 UPX 发布
如果不是地方保护主义
hying的壳早就被公开XX


正是如此~!
雪    币: 192
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kingjia 活跃值 2005-5-5 08:25
11
0
哇 hying绝密壳也不绝密了?
雪    币: 54
活跃值: 活跃值 (202)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
loveaixing 活跃值 2005-5-5 10:15
12
0
loveboom 好厉害!!
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
Themida 活跃值 2005-5-5 10:43
13
0
阿达连连看明明是forgot的Excalibur 1.03(仙剑)的壳,你却偏偏说成是Hying的壳,阿达看到了岂不是要笑掉大牙。。。
雪    币: 251
活跃值: 活跃值 (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xyzjhe 活跃值 2005-5-5 14:05
14
0
最初由 Themida 发布
阿达连连看明明是forgot的Excalibur 1.03(仙剑)的壳,你却偏偏说成是Hying的壳,阿达看到了岂不是要笑掉大牙。。。


这个软件换了好几个壳。你说的是最新版本的把。
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:770 )
在线值:
发帖
回帖
粉丝
kyc 活跃值 19 2005-5-5 15:06
15
0
[加入收藏]
雪    币: 71
活跃值: 活跃值 (43)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
loveboom 活跃值 53 2005-5-5 15:15
16
0
最初由 Themida 发布
阿达连连看明明是forgot的Excalibur 1.03(仙剑)的壳,你却偏偏说成是Hying的壳,阿达看到了岂不是要笑掉大牙。。。


我人老了,有点眼花,看错是难免的,不过阿连的作者是笑还是怎么样,我想作者比你清楚
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
q3 watcher 活跃值 2005-5-5 15:31
17
0
最初由 Themida 发布
阿达连连看明明是forgot的Excalibur 1.03(仙剑)的壳,你却偏偏说成是Hying的壳,阿达看到了岂不是要笑掉大牙。。。

这个东西换壳就像小孩换尿布,原来好象是有一版用的是0.75。
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
UPX 活跃值 2005-5-5 17:20
18
0
新版hying壳输入表也乱序了吧
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
看不懂 活跃值 2005-5-9 13:14
19
0
停到"现在你可以打开Trace窗口尝试找回壳所抽代码."后,
又找到所抽代码后,放哪儿啊?
雪    币: 221
活跃值: 活跃值 (47)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
machoman 活跃值 1 2005-5-9 16:41
20
0
最初由 loveboom 发布


我人老了,有点眼花,看错是难免的,不过阿连的作者是笑还是怎么样,我想作者比你清楚


不会把,看“您老”头像很性感的呀。有点像哪个谁。。。。
雪    币: 54
活跃值: 活跃值 (202)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
loveaixing 活跃值 2005-5-15 11:53
21
0
有最新版的脚本吗?
游客
登录 | 注册 方可回帖
返回