好友
阅读权限25
听众
最后登录1970-1-1
|
RLpack 1.21 是我最近碰到的一个壳,网上几乎没教程,完整点的只有xuzheng,跟faint88两位大大的脱文,
为方便比我还菜的小鸟,就做了这个视频。
包含RLpack 1.21 anti、变形代码,IAT加密处理 以及 stolencode oep的修复。
脱壳一半时间,处理oep的stolencode又花了一段时间。。擦。
感谢诸位前辈厚实的肩膀,才令我等有触摸浩瀚星空的机会。
PS. 学生要拜师,有哪位大大肯收?
下载地址: 录像.rar ----千脑
--------------记录--------------------------
做个RLpack 1.21完整版 全保护的视频。
先加壳,高级输入表重定向这个E语言程序不能选,选了就打不开,不知为何。
两个aspack区段,其实是fakesign。
开始用F7,或者esp都行。
点错了,点成F9了⊙﹏⊙b汗。
这个Je跳了的话,后面的anti2就可以直接过。
这里两个选项就是变形代码。
这就是刚才说的anti2,也是rlpack的主anti,这里过不去就会出现
警告框。
这个加密call里面有很多东西,我就不细说了。
这个je下面便是虚拟机vm的jmp,这个视频只讲脱壳,不说虚拟机这些。
恐怖的stolencode,本来如果想要去找,可以从虚拟机里面慢慢分析出来,
但是,我们为了节省时间,就用捷径补oep。
当然,前提是要对易语言的入口特征非常熟悉!
易语言用的是vc++的link,所以用他的主程序看看。
有些多,不过没关系,这比慢慢分析快多了。
先看getversion这里吧,7C8111EA是他的数值,反过来就是
EA11817C这是我们用来找的。
00465198 7C8111EA kernel32.GetVersion
这里就是对应的getversion,简单吧。
搜这句吧,看起来比较有特点
cmp dword ptr [esp+8], eax
0044AC76 . 33C0 xor eax,eax
0044AC76
这个地址看来就是8了。
刚弄错了,擦。。
1跟2 要看堆栈
我们刚才改了带壳的代码,所以找不到了。
再重新开一个od,不改代码。
0012FFB4 0044ACDC SE处理程序
0012FFB8 0046C238 test.0046C238
0044ACDC --2
0046C238 --1
这两个就该是了
4567这4个是有关系的。
看这里的值。
看出来了吧。
终于补完了,我算术不好。。
ok了该loadpe,跟IR上场了。
终于完成了,这个壳我觉得还是一个很好的壳,ap0x大哥真不是盖得。
教程结束,谢谢收看。
by: 2666fff
--------------------------------------- |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2010-6-28 19:23
发表于 2010-6-28 19:37
