首页
论坛
专栏
课程

yoda's Protector V1.03.1/V1.03.2 UnPacK Script

2005-10-8 21:25 15284

yoda's Protector V1.03.1/V1.03.2 UnPacK Script

fly
85
2005-10-8 21:25
15284
///////////////////////////////////////////////////////////
//  FileName    :  yoda's Protector V1.03.X.osc
//  Comment     :  yoda's Protector V1.03.1/V1.03.2/V1.03.3 UnPacK
//  Environment :  WinXP SP2,OllyDbg V1.10,OllyScript V0.92
//  Author      :  fly
//  WebSite     :  http://www.unpack.cn
//  Date        :  2005-10-05 23:00
///////////////////////////////////////////////////////////
#log
dbh

var T0
var T1
var T2
var T3
var T4

MSGYN "Plz Clear All BreakPoints  And  Set Debugging Option Ignore All Excepions Options.  "
cmp $RESULT, 0
je TryAgain

//GetVersion――――――――――――――――――――――――――――――――

/*
00461EBE    FF541D 00       call dword ptr ss:[ebp+ebx]; kernel32.GetVersion
00461EC2    A9 00000080     test eax,80000000
00461EC7    74 20           je short 00461EE9
00461EC9    3C 04           cmp al,4
00461ECB    75 0C           jnz short 00461ED9
00461ECD    C785 48A04200 0>mov dword ptr ss:[ebp+42A048],2
00461ED7    EB 40           jmp short 00461F19
00461ED9    3C 03           cmp al,3
00461EDB    75 3C           jnz short 00461F19
00461EDD    C785 48A04200 0>mov dword ptr ss:[ebp+42A048],1
00461EE7    EB 30           jmp short 00461F19
00461EE9    3C 03           cmp al,3
//Windows3.X ?
00461EEB    75 0C           jnz short 00461EF9
00461EED    C785 48A04200 0>mov dword ptr ss:[ebp+42A048],4
00461EF7    EB 20           jmp short 00461F19
00461EF9    3C 04           cmp al,4
//Windows9X、NT4.0 ?
00461EFB    75 0C           jnz short 00461F09
00461EFD    C785 48A04200 0>mov dword ptr ss:[ebp+42A048],8
*/

gpa "GetVersion", "KERNEL32.dll"
eob GetVersion
bp $RESULT
esto
GoOn0:
esto

GetVersion:
cmp eip,$RESULT
jne GoOn0
bc $RESULT
rtu
mov eax,4
mov [$RESULT], #B804000000C3#

//SetWindowLongA――――――――――――――――――――――――――――――――

gpa "GetWindowLongA", "User32.dll"
eob GetWindowLongA
bp $RESULT
esto
GoOn1:
esto

GetWindowLongA:
cmp eip,$RESULT
jne GoOn1
bc $RESULT
rtu
mov T0,eax

//Lock Shell_TrayWnd
gpa "SetWindowLongA", "User32.dll"
eob SetWindowLongA
bp $RESULT
esto
GoOn2:
esto

SetWindowLongA:
cmp eip,$RESULT
jne GoOn2
bc $RESULT
mov T1,esp
add T1,C
mov [T1],T0
rtu

//IsDebuggerPresent――――――――――――――――――――――――――――――――

gpa "IsDebuggerPresent", "KERNEL32.dll"
eob IsDebuggerPresent
bp $RESULT
esto
GoOn3:
esto

IsDebuggerPresent:
cmp eip,$RESULT
jne GoOn3
bc $RESULT
rtu

find eip, #C1CB07#
cmp $RESULT, 0
je NoFind
mov T2,$RESULT
eob Ror7
bp T2
log T2
esto
GoOn4:
esto

Ror7:
cmp eip,T2
jne GoOn4
bc T2
mov T3,ebx
log ebx

//Fixed Importing Function――――――――――――――――――――――――――――――――

find eip, #89322BC683E805#
cmp $RESULT, 0
log $RESULT
je NoFind

mov T4,$RESULT
mov [T4],C62B9090
//Fixed Importing Function

find eip, #740261C3#
cmp $RESULT, 0
je NoFind

eob Popad
bp $RESULT

esto
GoOn5:
esto

Popad:
cmp eip,$RESULT
jne GoOn5
bc $RESULT
mov [T4],C62B3289
//Revert Code

//MyOEP――――――――――――――――――――――――――――――――

eob MyOEP
bp T3

esto
GoOn6:
esto

MyOEP:
cmp eip,T3
jne GoOn6
bc T3

//GameOver――――――――――――――――――――――――――――――――

log eip
cmt eip, "This is the OEP! Found By: fly"
MSG "Just : OEP !  Dump and Fix IAT.  Good Luck   "
ret

NoFind:
MSG "Error! Maybe It's not yoda's Protector V1.03.1/V1.03.2/V1.03.3 !  "
ret

TryAgain:
MSG " Plz  Try  Again   !   "
ret


[公告][征集寄语] 看雪20周年年会 | 感恩有你,一路同行

上传的附件:
最新回复 (29)
xuruifengc 2005-10-8 21:47
2
0
sofa!HahA
采臣·宁 1 2005-10-8 21:58
3
0
强贴必留名。FLY的第一个脚本吧
fly 85 2005-10-8 22:03
4
0
很少玩脚本,以前用老罗的OllyMachine写过几个
最近无聊,看OllyScript帮助文件学着写了几十个压缩壳的脱壳脚本,没啥价值,就不公开了
采臣·宁 1 2005-10-8 22:09
5
0
OLLYDBG的脚本我是一点都不会用。
快雪时晴 4 2005-10-8 22:56
6
0
最初由 fly 发布
很少玩脚本,以前用老罗的OllyMachine写过几个
最近无聊,看OllyScript帮助文件学着写了几十个压缩壳的脱壳脚本,没啥价值,就不公开了


公开吧,也学习学习。
比较了下别人的yada脚本和fly的是有不同,看来找OEP方法真是很多
pendan2001 4 2005-10-9 09:31
7
0
支持!!哦
南蛮妈妈 3 2005-10-9 09:33
8
0
强贴必留名, 我顶
windycandy 5 2005-10-9 10:27
9
0
这个很好用---支持
zgj1623 2005-10-9 16:53
10
0
谢谢,复制下来好好看一看.
lnn1123 13 2005-10-9 17:22
11
0
OLLYDBG帮助里面有脚本语法?
WiNrOOt 5 2005-10-9 18:17
12
0
最初由 lnn1123 发布
OLLYDBG帮助里面有脚本语法?

OllyScript不是官方推出的。他是一个插件
lnn1123 13 2005-10-9 18:24
13
0
知道了.....
zeror 2005-10-9 19:31
14
0
最初由 fly 发布
很少玩脚本,以前用老罗的OllyMachine写过几个
最近无聊,看OllyScript帮助文件学着写了几十个压缩壳的脱壳脚本,没啥价值,就不公开了


公开吧,不公开就埋没了好东西了!

如果不方便,就发到Zeror@163.com
okdodo 2 2005-10-9 22:14
15
0
很好的OSC实例教程
fly 85 2005-10-9 23:31
16
0
最初由 zeror 发布
公开吧,不公开就埋没了好东西了!
如果不方便,就发到Zeror@163.com


刚开始玩脚本
很多不会,努力学习中  
我会修改一些发布出来
微微虫 2006-5-5 14:18
17
0
我下载来,学习了一下。
也找了个软件试了一下,可是好象不能成功,不知道怎么回事
也看过大侠的手脱的文章,可模仿了一下脱壳,好象不行。
Why??
fly 85 2006-5-7 00:28
18
0
确定是此壳?
链接我看看
微微虫 2006-5-24 16:40
19
0
我用PEiD查了一下,是yoda's Protector V1.0X -> Ashkbiz Danehkar *
用你的脚本好象不行,我很菜,学习中一些技术!
http://free.ys168.com/?wwcgodsoft 临时文件夹有这个工具,kystar.rar这个文件
谢谢!
fly 85 2006-5-24 17:08
20
0
加了条语句
下载附件中的脚本看看
牛奶 2006-5-25 02:16
21
0
我前几天在OD官方网站看了一下关于脚本的概念,与Fly交流交流啊
微微虫 2006-5-27 11:36
22
0
好的,谢谢!机房里太卡了,下载过来到寝室里弄一下!
谢谢Fly 大侠!
jetic 2006-5-29 23:02
23
0
PEiD查了下是yoda's cryptor 1.2

用2次内存断点的方法断在这里
但是dump出来,修复也无法执行.....望各位指导下
怎么判断是不是正确的OEP呢

004E4940    6A 60           PUSH 60
004E4942    68 904B5200     PUSH L2Walker.00524B90
004E4947    E8 BC3E0000     CALL L2Walker.004E8808
004E494C    BF 94000000     MOV EDI,94
004E4951    8BC7            MOV EAX,EDI
004E4953    E8 C83C0000     CALL L2Walker.004E8620
004E4958    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
004E495B    8BF4            MOV ESI,ESP
004E495D    893E            MOV DWORD PTR DS:[ESI],EDI
004E495F    56              PUSH ESI
004E4960    FF15 7CE25100   CALL DWORD PTR DS:[51E27C]
004E4966    8B4E 10         MOV ECX,DWORD PTR DS:[ESI+10]
004E4969    890D 549B6700   MOV DWORD PTR DS:[679B54],ECX
004E496F    8B46 04         MOV EAX,DWORD PTR DS:[ESI+4]
004E4972    A3 609B6700     MOV DWORD PTR DS:[679B60],EAX
004E4977    8B56 08         MOV EDX,DWORD PTR DS:[ESI+8]
004E497A    8915 649B6700   MOV DWORD PTR DS:[679B64],EDX
004E4980    8B76 0C         MOV ESI,DWORD PTR DS:[ESI+C]
004E4983    81E6 FF7F0000   AND ESI,7FFF
004E4989    8935 589B6700   MOV DWORD PTR DS:[679B58],ESI
004E498F    83F9 02         CMP ECX,2
004E4992    74 0C           JE SHORT L2Walker.004E49A0
004E4994    81CE 00800000   OR ESI,8000
fly 85 2006-5-29 23:22
24
0
yoda's cryptor有yoda's cryptor V1.2-V1.3.osc脚本

不过看你脱的程序像是某外挂吧,伪装yoda's cryptor而已
hying的壳
jetic 2006-5-29 23:32
25
0
确实是一个外挂,不过已经是去年的free版本了,最新的都用
ASProtect 2.1x SKE -> Alexey Solodovnikov

只是想学习下,刚开始学习脱壳,请教下fly是怎么看具体用的是
哪个壳.菜鸟问题,不好意思

还有怎么才能显示出这个壳的原形呢?
用PDiE深度扫描也是一样的结果
fly 85 2006-5-30 09:22
26
0
调试
看壳运行流程的特征
xudecun 2006-6-24 23:47
27
0
最近也是遇到了yoda's Protector 1.03.2加的壳所以来求教!
像用OllyICE好像在xp sp2下,一调试就会死机!哎!!!真的有好多的东西要学的!
今天搜到这个帖子说用脚本的方法可以哦!呵呵,不知道可不可以直接套用!而且现在连OllyICE都用不好,所以脚本就更惨了,所以请大虾赐教我们简单的讲讲脚本的用法和过程!!好不!!一个很想学的人!!
fly 85 2006-6-25 17:46
28
0
OllyDbg->Plugins->OllyScript->Run Script
->yoda's Protector V1.03.X.osc
xudecun 2006-6-25 20:20
29
0
谢谢哦!但是脱了壳为什么程序不能正常运行!主要是我太菜,用loadpe修复之后程序也不能正常运行!是不是要用其他的修复工具!主程序是用Delphi 6.0 - 7.0编写的!弹出几个对话框之后还可以进入程序,但不能正常工作!
fly 85 2006-6-25 20:51
30
0
脱壳基础知识入门
http://bbs.pediy.com/showthread.php?s=&threadid=20366
游客
登录 | 注册 方可回帖
返回