手动脱壳入门第十七篇 VGCrypt PE Encryptor V0.75
互联网 发布时间:2008-10-08 19:04:27 作者:佚名 
我要评论
我要评论【脱文标题】 手动脱壳入门第十七篇 VGCrypt PE Encryptor V0.75
【脱文作者】 weiyi75[Dfcg]
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营
【使用工具】 Peid,Ollydbg,ImportREC
【脱壳平台】 Win2K/XP
【软件名称】 VGCrypt PE Enc
【脱文标题】 手动脱壳入门第十七篇 VGCrypt PE Encryptor V0.75
【脱文作者】 weiyi75[Dfcg]
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营
【使用工具】 Peid,Ollydbg,ImportREC
【脱壳平台】 Win2K/XP
【软件名称】 VGCrypt PE Encryptor V0.75
【软件简介】 This is a fairly simple PE encryptor I wrote up. I commented everything that is relavent to PE appendation or insertion, more so than I needed to even. The most interesting feature of this encryptor is that it attempts to find a location to insert itself between object virtual size and the next file alignment boundary, thus not changing the physical file size.
【软件大小】 16 KB
【下载地址】 本地下载
Vgcrypt.rar
【加壳方式】 Virogen Crypt 0.75
【保护方式】 Virogen Crypt资源保护壳
【脱壳声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【脱壳内容】
下载这个程序,用 Vgcrypt Notepad.exe 的命令行方法压缩了一个Win98的记事本,倒,原文件大小等于压缩后大小52K,程序也没有加密IAT,仅仅搞乱了Code段,让你无法反汇编,用资源编辑软件发现可以编辑资源。
加壳记事本
本地下载
Notepad.rar
首先Peid查壳,为Virogen Crypt 0.75,OD载入运行,无任何异常,判断其为压缩壳。
0040584C > 9C PUSHFD //记事本外壳入口。
0040584D 55 PUSH EBP
0040584E E8 EC000000 CALL 1.0040593F
00405853 87D5 XCHG EBP,EDX
00405855 5D POP EBP
00405856 60 PUSHAD //从这这句过后用ESP定律吧,
00405857 87D5 XCHG EBP,EDX //到这里ESP=12ffa0
00405859 80BD 15274000 0>CMP BYTE PTR SS:[EBP 402715],1
00405860 74 39 JE SHORT 1.0040589B
00405862 C685 15274000 0>MOV BYTE PTR SS:[EBP 402715],1
00405869 E9 E4000000 JMP 1.00405952
0040586E - E9 79DAFF90 JMP 914032EC
00405873 D6 SALC
00405874 64:CE INTO ; 多余的前缀
00405876 E4 3C IN AL,3C ; I/O 命令
00405878 40 INC EAX
00405879 94 XCHG EAX,ESP
0040587A 65:EC IN AL,DX ; I/O 命令
0040587C ^ 78 8D JS SHORT 1.0040580B
.............................................................
dd 12ffa0
下硬件访问-Dword断点。
F9运行
硬件中断。
004058A8 9D POPFD //堆栈平衡
004058A9 8B9A 09274000 MOV EBX,DWORD PTR DS:[EDX 402709]
004058AF 898A 09274000 MOV DWORD PTR DS:[EDX 402709],ECX
004058B5 FFE3 JMP EBX //跳往OEP 4010CC
004010CC 55 DB 55 //右键清除分析
004010CD 8B DB 8B
004010CE EC DB EC
004010CF 83 DB 83
004010D0 EC DB EC
004010D1 44 DB 44 ; CHAR 'D'
004010D2 56 DB 56 ; CHAR 'V'
004010D3 FF DB FF
004010D4 15 DB 15
004010D5 . E4634000 DD
004010D9 8B DB 8B
004010DA F0 DB F0
004010DB 8A DB 8A
004010DC 00 DB 00
004010DD 3C DB 3C ; CHAR '; KERNEL32.GetCommandLineA
004010D9 8BF0 MOV ESI,EAX
004010DB 8A00 MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22 CMP AL,22
004010DF 75 1B JNZ SHORT 1.004010FC
004010E1 56 PUSH ESI
004010E2 FF15 F4644000 CALL DWORD PTR DS:[] ; USER32.CharNextA
004010E8 8BF0 MOV ESI,EAX
004010EA 8A00 MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0 TEST AL,AL
004010EE 74 04 JE SHORT 1.004010F4
004010F0 3C 22 CMP AL,22
004010F2 ^ 75 ED JNZ SHORT 1.004010E1
004010F4 803E 22 CMP BYTE PTR DS:[ESI],22
................................................................................
运行ImportREC,选择这个进程。把OEP改为000010cc,点IT AutoSearch,点“Get Import”,函数都是有效的。FixDump,无法运行。倒,用Loadpe重建Pe,正常运行。
继续OD载入它的主程序。
00408000 > 9C PUSHFD //主程序外壳入口。
00408001 55 PUSH EBP
00408002 E8 EC000000 CALL Vgcrypt.004080F3
00408007 87D5 XCHG EBP,EDX
00408009 5D POP EBP
0040800A 60 PUSHAD //从这这句过后用ESP定律吧,
0040800B 87D5 XCHG EBP,EDX //到这里ESP=12ffa0
0040800D 80BD 15274000 0>CMP BYTE PTR SS:[EBP 402715],1
00408014 74 39 JE SHORT Vgcrypt.0040804F
00408016 C685 15274000 0>MOV BYTE PTR SS:[EBP 402715],1
【脱文作者】 weiyi75[Dfcg]
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营
【使用工具】 Peid,Ollydbg,ImportREC
【脱壳平台】 Win2K/XP
【软件名称】 VGCrypt PE Encryptor V0.75
【软件简介】 This is a fairly simple PE encryptor I wrote up. I commented everything that is relavent to PE appendation or insertion, more so than I needed to even. The most interesting feature of this encryptor is that it attempts to find a location to insert itself between object virtual size and the next file alignment boundary, thus not changing the physical file size.
【软件大小】 16 KB
【下载地址】 本地下载
Vgcrypt.rar
【加壳方式】 Virogen Crypt 0.75
【保护方式】 Virogen Crypt资源保护壳
【脱壳声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【脱壳内容】
下载这个程序,用 Vgcrypt Notepad.exe 的命令行方法压缩了一个Win98的记事本,倒,原文件大小等于压缩后大小52K,程序也没有加密IAT,仅仅搞乱了Code段,让你无法反汇编,用资源编辑软件发现可以编辑资源。
加壳记事本
本地下载
Notepad.rar
首先Peid查壳,为Virogen Crypt 0.75,OD载入运行,无任何异常,判断其为压缩壳。
0040584C > 9C PUSHFD //记事本外壳入口。
0040584D 55 PUSH EBP
0040584E E8 EC000000 CALL 1.0040593F
00405853 87D5 XCHG EBP,EDX
00405855 5D POP EBP
00405856 60 PUSHAD //从这这句过后用ESP定律吧,
00405857 87D5 XCHG EBP,EDX //到这里ESP=12ffa0
00405859 80BD 15274000 0>CMP BYTE PTR SS:[EBP 402715],1
00405860 74 39 JE SHORT 1.0040589B
00405862 C685 15274000 0>MOV BYTE PTR SS:[EBP 402715],1
00405869 E9 E4000000 JMP 1.00405952
0040586E - E9 79DAFF90 JMP 914032EC
00405873 D6 SALC
00405874 64:CE INTO ; 多余的前缀
00405876 E4 3C IN AL,3C ; I/O 命令
00405878 40 INC EAX
00405879 94 XCHG EAX,ESP
0040587A 65:EC IN AL,DX ; I/O 命令
0040587C ^ 78 8D JS SHORT 1.0040580B
.............................................................
dd 12ffa0
下硬件访问-Dword断点。
F9运行
硬件中断。
004058A8 9D POPFD //堆栈平衡
004058A9 8B9A 09274000 MOV EBX,DWORD PTR DS:[EDX 402709]
004058AF 898A 09274000 MOV DWORD PTR DS:[EDX 402709],ECX
004058B5 FFE3 JMP EBX //跳往OEP 4010CC
004010CC 55 DB 55 //右键清除分析
004010CD 8B DB 8B
004010CE EC DB EC
004010CF 83 DB 83
004010D0 EC DB EC
004010D1 44 DB 44 ; CHAR 'D'
004010D2 56 DB 56 ; CHAR 'V'
004010D3 FF DB FF
004010D4 15 DB 15
004010D5 . E4634000 DD
004010D9 8B DB 8B
004010DA F0 DB F0
004010DB 8A DB 8A
004010DC 00 DB 00
004010DD 3C DB 3C ; CHAR '; KERNEL32.GetCommandLineA
004010D9 8BF0 MOV ESI,EAX
004010DB 8A00 MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22 CMP AL,22
004010DF 75 1B JNZ SHORT 1.004010FC
004010E1 56 PUSH ESI
004010E2 FF15 F4644000 CALL DWORD PTR DS:[] ; USER32.CharNextA
004010E8 8BF0 MOV ESI,EAX
004010EA 8A00 MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0 TEST AL,AL
004010EE 74 04 JE SHORT 1.004010F4
004010F0 3C 22 CMP AL,22
004010F2 ^ 75 ED JNZ SHORT 1.004010E1
004010F4 803E 22 CMP BYTE PTR DS:[ESI],22
................................................................................
运行ImportREC,选择这个进程。把OEP改为000010cc,点IT AutoSearch,点“Get Import”,函数都是有效的。FixDump,无法运行。倒,用Loadpe重建Pe,正常运行。
继续OD载入它的主程序。
00408000 > 9C PUSHFD //主程序外壳入口。
00408001 55 PUSH EBP
00408002 E8 EC000000 CALL Vgcrypt.004080F3
00408007 87D5 XCHG EBP,EDX
00408009 5D POP EBP
0040800A 60 PUSHAD //从这这句过后用ESP定律吧,
0040800B 87D5 XCHG EBP,EDX //到这里ESP=12ffa0
0040800D 80BD 15274000 0>CMP BYTE PTR SS:[EBP 402715],1
00408014 74 39 JE SHORT Vgcrypt.0040804F
00408016 C685 15274000 0>MOV BYTE PTR SS:[EBP 402715],1
相关文章
- “CMOS密码”就是通常所说的“开机密码”,主要是为了防止别人使用自已的计算机,设置的一个屏障2023-08-01
QQScreenShot之逆向并提取QQ截图--OCR和其他功能
上一篇文章逆向并提取QQ截图没有提取OCR功能, 再次逆向我发现是可以本地调用QQ的OCR的,但翻译按钮确实没啥用, 于是Patch了翻译按钮事件, 改为了将截图用百度以图搜图搜索.2023-02-04
QQ截图是我用过的最好用的截图工具, 由于基本不在电脑上登QQ了, 于是就想将其提取出独立版目前除了屏幕录制功能其他都逆出来了, 在此分享一下2023-02-04
非系统分区使用BitLocker加密导致软件无法安装的解决方法
很多电脑用户在考虑自己电脑磁盘分区安全时会采用 Windows 自带的 BitLocker 加密工具对电脑磁盘分区进行加密。但有些人加密后就会忘记自己设置的密码从而导致在安装其它软2020-11-25
防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生
这篇文章为大家详细介绍了如何才能防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-27
彻底防止计算机泄密、重要涉密人员离职泄密、涉密人员离岗离职前防范举
近些年企业商业机密泄漏的事件屡有发生,这篇文章主要教大家如何彻底防止计算机泄密、重要涉密人员离职泄密、告诉大家涉密人员离岗离职前的防范举措,具有一定的参考价值,2017-06-27- 最近有电脑用户反应量子计算机可以破解下载的所有的加密算法吗?其实也不是不可以,下面虚拟就为大家讲解买台量子计算机,如何分分钟破解加密算法2016-09-26
怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,一种网页后门。黑客通常会通过它控制别人网络服务器,那么怎么破解webshell密码呢?一起来看看吧2016-09-19- 本文讨论了针对Linux系统全盘加密的冷启动攻击,大家都认为这种攻击是可行的,但执行这么一次攻击有多难?攻击的可行性有多少呢?需要的朋友可以参考下2015-12-28
防止泄露公司机密、企业数据防泄密软件排名、电脑文件加密软件排行
面对日渐严重的内部泄密事件,我们如何守护企业的核心信息,如何防止内部泄密也就成了摆在各个企业领导面前的一大问题。其实,针对内网安全,防止内部信息泄漏早已有了比较2015-12-17
最新评论