本人是新来的菜鸟

感觉大家在研究netsowell的脚本时都很自私,有问题才问netsowell或fly等高手,也不共享一下研究的过程,这样大家只能瞎试,学不到东西

现在我发布我研究的过程:

1.准备工作:

用到工具 flyODBG (包括了OllyMachine,OllyDump等插件),netsowell的脚本存成EncryptPE.txt
对象EncryptPE.exe (V2.2005.9.10)

2.运行脚本,脱壳

用flyODBG打开EncryptPE.exe,打开任务栏管理器结束explorer.exe进程(注:结束后不要任务栏管理器),F9运行EncryptPE.exe,这时你可能暂停在 int 1 中断,也可能鼠标点不了菜单了,不用慌,试着用快捷键SHIFT+F9一直运行下去,或Alt+W想办法让菜单响应,直到菜单响应,能重新打开EncryptPE.exe为止;(这就是下面要运行脚本时,出现程序不响应的一些解决办法)

而想运行脚本成功不死机,是要中途不出现中断和意外的,所以我们重来,用flyODBG打开EncryptPE.exe, Alt+O打开调试选项,钩上"同时忽略以下指定...范围"中的 00000001 .. FEEDFADE ,这样就能在运行过程中跳过int 1中断

开始运行脚本了(注:还是在结束explorer.exe进程,刚打开EncryptPE.exe环境下),打开插件中的OllyMachine, 1. Run 运行脚本EncryptPE.txt;这时脚本应该可以顺利运行了...不过有时还会出现运行完脚本菜单不响应的情况,用上面说的方法多试几次;

成功运行脚本,最后内存暂停在

711E5CC9  33C0  xor eax,eax  ; V2200591.71201721

这时就可以Dump了,本人不知道netsowell用的什么Dump脱壳,只能先用OllyDump插件了,OEP这时应该也没有找到正确的(知道OEP的高手,应该出来说明一下);用OllyDump脱壳,先不选"重建输入表",保存脱壳EXE.

3.重建输入表IAT(我不会,只是过程参考)

前面不关闭任务栏管理器的作用就是,可以通过任务栏管理器新建任务打开我们想用的软件,打开ImportREC,这时因为结束了explorer.exe进程,EncryptPE.exe进程就隐藏不了啦,再Pick Dll选V22005910.EPE, IAT AutoSearch,(因为我不太明白修复IAT的过程,用的时候很容易就死机了,望高手们赐教),Get Imaports,Auto Trace(长时间没有响应),失败......

4.大家看到我说错的地方,不要笑我,希望大家都把自己研究的成果发布出来,团结就是力量,这也是开论坛的初衷.

[培训]科锐逆向工程师培训第53期2025年7月8日开班！