查看: 4108|回复: 20

[原创] 菜鸟之YT88带原狗简单脱壳及自校验修复

[复制链接]

1

主题

2

帖子

44

狗币

新手上路

Rank: 1

积分
0
发表于 2021-7-17 23:49:22 | 显示全部楼层 |阅读模式

马上注册,加入我们共同探讨加密狗的奥秘!

您需要 登录 才可以下载或查看,没有账号?立即注册

x
        业余学很久了,一直没有发过什么有技术含量的文章,以前看了一位大侠的域天狗脱壳文章,也带狗脱了一个简单的域天的壳, 在破之前本以为很简单的事,谁知花了我几天都搞不下。
在迷茫之中。得到大神”清晨吃馒头“ 的耐心指导下才能完成,感谢”清晨吃馒头“老师。是我学破解路上的一盏明灯。其实不太是想发这篇文章的,因为我连最基本的都算不上,可能自卑吧!不过新手总是要摸索出来的,没有师傅老师带,道路上肯定是坎坎坷坷的。
希望对大家有所帮助,新手进来看下,大牛可以飘过,高手请指教。
下面我分享下我的破解过程

说实话,做教程发贴不容易,虽然是无声的教程但是文字表示的非常明白和仔细。因为要整理出让人易懂有序的教程比起破软件的时间还要花费更长时间.....
废话不多说了,步入正题:

这狗入口有点不同,
005B3D5A >  9C              pushfd                           ///域天狗壳,都一样
005B3D5B    60              pushad
005B3D5C    E8 33000000     call   005B3D94
005B3D61    5D              pop     ebp
--------------------------------------------------------------------------------------------------------------
他是这样的
004010CC > /EB10           jmp     short 004010DE            ///域天狗壳,变样了
004010CE   |66:623A         bound  di, dword ptr [edx]
004010D8   |90              nop
--------------------------------------------------------------------------------------------------------------

OD载入

11111111.jpg

F8单步走几下。在命令行输入 hr esp 回车

22222.jpg

F9一路运行,最后停在0040D8BD    E8 F0FFFFFF     call   0040D8B2          //在这里跳往OEP

3333.jpg

转储LordPE
image001.png 4444.jpg

IAT脱壳修复      OEP 0040D8B8

55555.jpg

脱壳成功,试运行一下,打不开!应有自较验

OD载入  dumped_SCY

命令行输入__vabEnd 回车

66666.jpg

F9运行

77777.jpg

到了这

888.jpg

005BF068/7514 jnz short 005BF07E   、、、、、、NOP
99999.jpg

继续找到所有的__vabEnd
  1. 005C0FC3    66:837E 3A 00   cmp    word ptr [esi+0x3A], 0x0
  2. 005C0FC8    66:C746 38 FFFF mov     word ptr [esi+0x38], 0xFFFF
  3. 005C0FCE    7E 05           jle     short 005C0FD5
  4. 005C0FD0    E8 CB46FEFF     call   005A56A0
  5. 005C0FD5    E8 66041700     call   00731440
  6. 005C0FDA    66:85C0         test   ax, ax
  7. 005C0FDD    74 06           je      short 005C0FE5      ////////////////////改 jmp
  8. 005C0FDF    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
  9. 005C0FE5    66:833D 7870730>cmp     word ptr [0x737078], 0x0
  10. 005C0FED    75 06           jnz     short 005C0FF5
  11. 005C0FEF    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
  12. 005C0FF5    E8 A6001700     call   007310A0
  13. 005C0FFA    8BF8            mov     edi, eax
  14. 005C0FFC    66:85FF         test   di, di
  15. 005C0FFF    74 10           je      short 005C1011        /////////////////////改 jmp
  16. 005C1001    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
  17. 005C1007    66:83FF 01      cmp    di, 0x1
  18. 005C100B    0F84 FB1A0000   je      005C2B0C
  19. 005C1011    66:F7DF         neg    di
  20. 005C1014    1BFF            sbb     edi, edi
  21. 005C1016    F7DF            neg     edi
  22. 005C1018    4F              dec     edi
  23. 005C1019    66:893D 4270730>mov     word ptr [0x737042], di
  24. 005C1020    E8 AB051700     call   007315D0
  25. 005C1025    8BF8            mov     edi, eax
  26. 005C1027    66:85FF         test   di, di
  27. 005C102A    74 1A           je      short 005C1046           /////////////////////改 jmp
  28. 005C102C    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
  29. 005C1032    66:83FF 01      cmp    di, 0x1
  30. 005C1036    0F84 D01A0000   je     005C2B0C
  31. 0055314B    81C1 98000000   add    ecx, 0x98
  32. 00553151    FF15 FC124000   call   dword ptr [<&msvbvm60.__vbaStrCo>; msvbvm60.__vbaStrCopy
  33. 00553157    C745 FC 0C00000>mov     dword ptr [ebp-0x4], 0xC
  34. 0055315E    E8 DDE21D00     call   00731440
  35. 00553163    0FBFC0          movsx   eax, ax
  36. 00553166    85C0            test    eax, eax
  37. 00553168    75 02           jnz     short 0055316C             /////////////////NOP
  38. 0055316A    EB 0D           jmp     short 00553179
  39. 0055316C    C745 FC 0E00000>mov     dword ptr [ebp-0x4], 0xE
  40. 00553173    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
  41. 00553179    C745 FC 1000000>mov     dword ptr [ebp-0x4], 0x10
  42. 00553180    0FBF0D 78707300 movsx   ecx, word ptr [0x737078]
  43. 00553187    85C9            test    ecx, ecx
  44. 00553189    75 0D           jnz     short 00553198           /////////////////////改 jmp
  45. 0055318B    C745 FC 1100000>mov     dword ptr [ebp-0x4], 0x11
  46. 00553192    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
  47. 00553198    C745 FC 1300000>mov     dword ptr [ebp-0x4], 0x13
  48. 0055319F    E8 FCDE1D00     call   007310A0
  49. 005531A4    66:8945 DC      mov    word ptr [ebp-0x24], ax
  50. 005531A8    C745 FC 1400000>mov     dword ptr [ebp-0x4], 0x14
  51. 005531AF    0FBF55 DC       movsx  edx, word ptr [ebp-0x24]
  52. 005531B3    85D2            test    edx, edx
  53. 005531B5    75 02           jnz     short 005531B9        /////////////////NOP
  54. 005531B7    EB 20           jmp     short 005531D9
  55. 005531B9    C745 FC 1600000>mov     dword ptr [ebp-0x4], 0x16
  56. 005531C0    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
  57. 005531C6    C745FC 1700000>mov     dword ptr[ebp-0x4], 0x17
  58. 005531CD    66:837D DC 01   cmp    word ptr [ebp-0x24], 0x1
  59. 005531E8    C745 FC 1C00000>mov     dword ptr [ebp-0x4], 0x1C
  60. 005531EF    66:C705 4270730>mov     word ptr [0x737042], 0xFFFF
  61. 005531F8    EB 10           jmp     short 0055320A
  62. 005531FA    C745 FC 1E00000>mov     dword ptr [ebp-0x4], 0x1E
  63. 00553201    66:C705 4270730>mov     word ptr [0x737042], 0x0
  64. 0055320A    C745 FC 2000000>mov     dword ptr [ebp-0x4], 0x20
  65. 00553211    E8 BAE31D00     call   007315D0
  66. 00553216    66:8945 DC      mov    word ptr [ebp-0x24], ax
  67. 0055321A    C745 FC 2100000>mov     dword ptr [ebp-0x4], 0x21
  68. 00553221    0FBF4D DC       movsx  ecx, word ptr [ebp-0x24]
  69. 00553225    85C9            test    ecx, ecx
  70. 00553227    75 02          jnz     short 0055322B           /////////////////NOP
  71. 00553229    EB 33           jmp     short 0055325E
  72. 0055322B    C745 FC 2300000>mov     dword ptr [ebp-0x4], 0x23
  73. 00553232    FF15 40104000   call   dword ptr [<&msvbvm60.__vbaEnd>] ; msvbvm60.__vbaEnd
  74. 00553238    C745 FC 2400000>mov     dword ptr [ebp-0x4], 0x24
复制代码


好了,自校验去掉,保存。脱壳到此结束,谢谢观看……………………….





















评分

参与人数 1狗币 +5 收起 理由
清晨吃馒头 + 5 很给力!继续努力!

查看全部评分


加密狗客栈 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者与加密狗客栈享有帖子相关版权。
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和加密狗客栈的同意。
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
7、加密狗客栈管理员和版主有权不事先通知发贴者而删除本文。
8、本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件的调试分析文章、分析视频等,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者其他任何非法用途!否则,一切后果请用户自负!如有侵权请联系站长处理。

回复

使用道具 举报

96

主题

308

帖子

2万

狗币

管理员

Rank: 9Rank: 9Rank: 9

积分
37
发表于 2021-7-18 06:58:16 | 显示全部楼层
不错,凡是开头难,有了第一次就有成功的机会
回复

使用道具 举报

0

主题

23

帖子

48

狗币

新手上路

Rank: 1

积分
4
发表于 2021-7-18 14:02:09 | 显示全部楼层
:lo厉害
回复

使用道具 举报

2

主题

44

帖子

173

狗币

新手上路

Rank: 1

积分
5
发表于 2021-7-18 18:19:33 | 显示全部楼层
写的太好了
回复

使用道具 举报

0

主题

6

帖子

8

狗币

新手上路

Rank: 1

积分
1
发表于 2021-8-10 20:07:42 | 显示全部楼层
这个壳跟压缩壳一样,不知道怎么回事,官方还不改
回复

使用道具 举报

96

主题

308

帖子

2万

狗币

管理员

Rank: 9Rank: 9Rank: 9

积分
37
发表于 2021-8-10 20:23:12 | 显示全部楼层
hszt 发表于 2021-8-10 20:07
这个壳跟压缩壳一样,不知道怎么回事,官方还不改

可以玩玩九鼎或VIKEY或威步、超级狗的狗壳
回复

使用道具 举报

1

主题

2

帖子

44

狗币

新手上路

Rank: 1

积分
0
 楼主| 发表于 2021-8-11 20:09:53 | 显示全部楼层
可能版本问题
回复

使用道具 举报

2

主题

86

帖子

277

狗币

新手上路

Rank: 1

积分
10
发表于 2021-8-14 18:10:44 | 显示全部楼层
厉害!加油!
回复

使用道具 举报

1

主题

62

帖子

270

狗币

新手上路

Rank: 1

积分
7
发表于 2021-9-11 01:39:48 | 显示全部楼层
写的很好,我的打开不是这样
回复

使用道具 举报

0

主题

32

帖子

353

狗币

新手上路

Rank: 1

积分
6
发表于 2021-10-24 06:47:28 | 显示全部楼层
厉害。写的很好。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快捷导航
快速回复 返回顶部 返回列表