首页
论坛
课程
招聘
[原创]EXECryptor2251 ?? + 跨平台 OK
2005-10-7 02:58 8473

[原创]EXECryptor2251 ?? + 跨平台 OK

2005-10-7 02:58
8473
【破解作者】 SYSCOM
【使用工具】 DS 2.7 ,IceExt ,IceDump ,LordPE ,ImportREC1.6 ,WinHex
【破解平台】 Windows XP SP1
【软件名称】 EXECryptor 2,2,5,1
【下载地址】 http://www.pediy.com/tools.htm (看雪工具?)
【软件简介】 加密 .EXE-工具
【加壳方式】  EXECryptor
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
----------------------------------------------------------------------

(1) 找? OEP:

     使用 ESP 定律,再配合 EXECryptor 2,2,5,1 ,加密入口特徵瘁
      可以找出 OEP=5A3875

(2)Dump Memory

     先韵??在, BPM 6DEE76 X  (TLS 咄入?),後滕檫程序
     再?行後,中?再 6DEE76 ,後韵?? BPX GetProcAddress
      中?後,返回主程序,6DEC97,令 A, 6DEC97-JMP 6DEC97
     清除所有??後,檫始 Dump Memory ,
     令  Pagein D 400000 2DF000 \??\C:\DUMP.BIN
     按 F5 後,修正 PE ,令 RA=VA,RS=VS,成?有效 PE ?
     ?成 DUMP.EXE (小?示?出?)

(3) 重建 New IAT

     ?一 Patch ,?原 Import Table,先令 588162-JMP Patch+Offset 0X29

+++++++++++++++++++ ASSEMBLY CODE START ++++++++++++++++++

:00000000     mov edx, 004ED168
:00000005     cmp word ptr [edx+02], 0040
:0000000A     jb 0000001C
:0000000C     cmp word ptr [edx+02], 005F
:00000011     ja 0000001C
:00000013     pushad
:00000014     mov dword ptr [004ED104], esp
:0000001A     jmp dword ptr [edx]
:0000001C     add edx, 00000004
:0000001F     cmp edx, 004ED908
:00000025     jbe 00000005
:00000027     jmp 00000027
:00000029     mov dword ptr [ebp-0C], eax
:0000002C     cmp ebp, 00130000
:00000032     jb 00000038
:00000034      mov esp, ebp
:00000036      pop ebp
:00000037      ret
:00000038      mov dword ptr [004ED100], eax
:0000003D      mov esp, dword ptr [004ED104]
:00000043      popad
:00000044      mov ebx, dword ptr [004ED100]
:0000004A      mov dword ptr [edx], ebx
:0000004C      jmp 0000001C

+++++++++++++++++++ ASSEMBLY CODE END ++++++++++++++++++

Patch 完後,?要再增加,??函? Kernel32.dll and User32.dll

Kernel32.dll                   User32.dll
---------------------------------------------------------
GetModuleHandleA                MessageBoxA
LoadLibraryA
GetProcAddress
ExitProcess
VirtualAlloc
VirtualFree
---------------------------------------------------------
增加完後,用 ImportREC1.6 ,令 RAV = ED144 , Size= 7C4
  重建 New IAT,得到 DUMP_.EXE

(4)用 LordPE,修正 OEP=1A3875 ,TLS=F2000 及 重新定位
    新增加的,??函? Kernel32.dll and User32.dll

DllName          OFT        TDS         FC       Name        FT
--------------------------------------------------------------------
Kernel32.dll   000AB18B   00000000   00000000   000AB0FB   000AB173
User32.dll     000AB1C7   00000000   00000000   000AB1A7   000AB1C3
--------------------------------------------------------------------

(5)去除自我校?

58309F-改-> C3
533D30-改-> C3

(6)TEST RUN OK~!!!

附件下蒌:共 4 ?
附件:execryptor2251.part1.rar

附件:execryptor2251.part2.rar


附件:execryptor2251.part3.rar

附件:execryptor2251.part4.rar

[2022冬季班]《安卓高级研修班(网课)》月薪两万班招生中~

收藏
点赞0
打赏
分享
最新回复 (17)
雪    币: 60
活跃值: 活跃值 (123)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2005-10-7 03:10
2
0
辛苦
附件还缺少
雪    币: 71
活跃值: 活跃值 (48)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
loveboom 活跃值 53 2005-10-7 03:54
3
0
GOOD,我的系统没法装sice和 trw:-(,
to fly:
  放假了,做野猫了!
雪    币: 60
活跃值: 活跃值 (123)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2005-10-7 04:06
4
0
呵呵,我一向喜欢白天睡觉

BTW:EXECryptor检测不出SoftICE+IceExt ?
雪    币: 2016
活跃值: 活跃值 (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
LOVE 活跃值 2005-10-7 04:12
5
0
同爱爆mm一样我的机器运行不了那两个玩意
雪    币: 203
活跃值: 活跃值 (15)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
syscom 活跃值 6 2005-10-7 04:34
6
0
最初由 fly 发布
呵呵,我一向喜欢白天睡觉

BTW:EXECryptor检测不出SoftICE+IceExt ?


使用 IceExt 命令,!Protect ON ,就可以避檫??~
雪    币: 19
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
pendan2001 活跃值 4 2005-10-7 07:29
7
0
good
雪    币: 200
活跃值: 活跃值 (13)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
shoooo 活跃值 16 2005-10-7 09:07
8
0
强贴必留名, 我顶!

另外请问syscom兄的IceExt是什么版本?

这一段非常怪异, 我要找一台xp sp1试试,如果这个是最佳dump点,就严重学习了

"
後韵?? BPX GetProcAddress
中?後,返回主程序,6DEC97,令 A, 6DEC97-JMP 6DEC97
清除所有??後,檫始 Dump Memory ,
令  Pagein D 400000 2DF000 \??\C:\DUMP.BIN
"
雪    币: 202
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
k99992002 活跃值 2005-10-7 13:23
9
0
都是通宵的啊,强啊
雪    币: 228
活跃值: 活跃值 (143)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
五哥 活跃值 2005-10-7 14:29
10
0
使用 winhex 查找 ASCII 和 Unicode 内容:

Feature 1

都没有在 EXE 文件中找到。。

但程序运行后,在内存中找到 Unicode 资源了。

我想可能是解码到内存所致。。。
雪    币: 203
活跃值: 活跃值 (15)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
syscom 活跃值 6 2005-10-7 14:32
11
0
最初由 shoooo 发布
强贴必留名, 我顶!

另外请问syscom兄的IceExt是什么版本?

这一段非常怪异, 我要找一台xp sp1试试,如果这个是最佳dump点,就严重学习了
........


我唔用 IceExt 0.67 ,呃??有影?,只是用?避檫 Debug ??而已....

呃是不邋的 Dump ?,用 SP2 ,也同?唔用的,和 OS ?晷....
雪    币: 60
活跃值: 活跃值 (123)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
fly 活跃值 85 2005-10-7 14:34
12
0
看看
http://bbs.hanzify.org/index.php?showtopic=39384
雪    币: 203
活跃值: 活跃值 (15)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
syscom 活跃值 6 2005-10-7 15:30
13
0
最初由 五哥 发布
使用 winhex 查找 ASCII 和 Unicode 内容:

Feature 1

都没有在 EXE 文件中找到。。
........


?先中文化-->  FeatureList
再中文化--->   Feature 1
就可以了

都可以在 FILE 找到....

中文化,我不太懂,你可能?要?教高手...
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
chinadev 活跃值 2005-10-7 15:56
14
0
看雪主页上只有IceExt 0.66
楼主可否提供一下IceExt 0.67

谢谢!~~
雪    币: 200
活跃值: 活跃值 (13)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
shoooo 活跃值 16 2005-10-8 09:19
15
0
最初由 syscom 发布


我唔用 IceExt 0.67 ,呃??有影?,只是用?避檫 Debug ??而已....

呃是不邋的 Dump ?,用 SP2 ,也同?唔用的,和 OS ?晷....


早上试了一下果真如此, 这个点好找而且干净, 严重学习了
只是pagein我没法试, 能一次性dump 2df000这么大?
雪    币: 203
活跃值: 活跃值 (15)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
syscom 活跃值 6 2005-10-8 10:53
16
0
最初由 shoooo 发布



早上试了一下果真如此, 这个点好找而且干净, 严重学习了
只是pagein我没法试, 能一次性dump 2df000这么大?


!Dump  命令,必?是呗理??的  VM

Pagein 命令,可以不是呗理?? VM,未使用 VM ,自?厌 00

可以  SIZE 2DF000 ,?可以更大...........
雪    币: 200
活跃值: 活跃值 (13)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
shoooo 活跃值 16 2005-10-8 10:54
17
0
最初由 syscom 发布


!Dump 命令,必?是呗理??的 VM

Pagein 命令,可以不是呗理?? VM,未使用 VM ,自?厌 00
........


又学习了,感谢
雪    币: 100
活跃值: 活跃值 (15)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
夜凉如水 活跃值 3 2005-10-13 18:08
18
0
hoho 了 多对这样子的主题讲讲受益匪浅!!!
游客
登录 | 注册 方可回帖
返回