火星信息安全研究院

Hack-Crack 信息安全【Institute Of Information Serurity From Mars】

脱壳『Unpack』

Unpack/脱壳相关文章，脱壳技巧

第 3 页，共 3 页«1 23

ExeInfo PE ver. 0.0.2.4 by A.S.L ( c ) 2006.03 – 2009.xx

Published 22/08/2009 | By obaby

___________________________________________________________________________

ExeInfo PE ver. 0.0.2.4 by A.S.L ( c ) 2006.03 – 2009.xx

freeware version for Windows XP

Windows 32 PE executable file checker , compilators, exe packers ….

with solve hint for unpack / internal exe tools / rippers

___________________________________________________________________________
猛击此处下载！
Continue reading →

Posted in 脱壳『Unpack』, 软件共享『SoftWare』 | Tagged PETools | 9 Comments

yoda’s Protector 1.3 -> Ashkbiz Danehkar 手脱笔记

Published 20/08/2009 | By obaby

目标：Agama Web Buttons2.52

用od载入后忽略所有异常，对code段下F2断点，F9运行，注意观察堆栈窗口，直到出现Se handle

Continue reading →

Posted in 脱壳『Unpack』 | Tagged Unpack | Leave a comment

普通壳的脱壳方法和脱壳技巧【转载】

Published 19/08/2009 | By obaby

常见脱壳知识：
1.PUSHAD （压栈）代表程序的入口点
2.POPAD （出栈）代表程序的出口点，与PUSHAD相对应，一般找到这个,说明OEP可能就在附近
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP），
只要我们找到程序真正的OEP，就可以立刻脱壳。

脱壳的几种方法：
方法一：单步跟踪
方法二：ESP定律脱壳
方法三：内存跟踪
方法四：跟踪出口法
方法五：最后一次异常法
方法六：懒人脱壳法
Continue reading →

Posted in 脱壳『Unpack』 | Tagged Unpack | Leave a comment

PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode脱壳手记 [转载]

Published 19/08/2009 | By obaby

今天要脱的是PEncrypt 4.0加的壳，是一个记事本程序，这个记事本程序比较奇怪，令我的修复出现了一点点小的波折。

加壳的记事本程序下载地址： [点击浏览该文件:PEncrypt V4.0.rar]

首先PEID查壳，显示：PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay]，有附加数据。然后用ollydbg载入，设置“调试选项”，在“异常”中，把所所有的勾都去掉，不要忽略异常。然后按shift+F9忽略异常运行，应该是按3次，这个记事本就运行了。
Continue reading →

Posted in 脱壳『Unpack』 | Tagged PEncrypt | Leave a comment

第 3 页，共 3 页«1 23

『在做的！/想做的？』

2012-05-15 12:13:16 #obaby
obaby 说《北京日报》微博呼吁骆家辉公布财产，它并不知道早在1978年美国通过了《政府伦理法》，要求每位联邦雇员申报财产，而骆家辉的财产早就公开了。《北京日报》微博是在昨天转发一网友微博时，发出了“请骆家辉公布财产”的要求，该帖子已经删除，它重新转发了该微博，但删除了评论。 2012-05-15 12:13:16 from Web […]