[分享]Goat's PE Mutilator 脱壳脚本-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[分享]Goat's PE Mutilator 脱壳脚本

发表于: 2006-11-5 17:13 3761

[分享]Goat's PE Mutilator 脱壳脚本

skylly

2006-11-5 17:13

3761

最近在看private exe protector这个壳
发现汉化版的主程序加的壳是个很陌生的壳(至少我不认识它)
用PEID扫描检测,显示为Goat's PE Mutilator 1.6
用OD跟了下，发现是个很简单的加密壳
花了几分钟时间写了个脱壳脚本
//goat's pe mutilator,fix iat
//code by skylly
#log
msg "忽略所有异常,确保断在system break point处再执行我"
esto
//到EP了
gpa "LoadLibraryA","kernel32.dll"
cmp $RESULT,0
je err
bp $RESULT
esto
bc $RESULT
var temp
mov temp,[esp]
bp temp
esto
bc temp
find eip,#744583BD#
cmp $RESULT,0
je err
var magic
mov magic,$RESULT
mov [magic],#EB# //fix magic jmp

find eip,#837E????0F85#
cmp $RESULT,0
je err
add $RESULT,A
bp $RESULT
esto
bc $RESULT
msg "iat 处理完毕,都是有效的了"
mov [magic],#74# //还原修改的地方,不管壳检不检测,好习惯一定要养成
gpa "IsDebuggerPresent","kernel32.dll"
cmp $RESULT,0
je err
bp $RESULT
esto
bc $RESULT
rtu
mov eax,0 //isdebuggerpresent检测
msg "在code段下f2断点,shift + f9,然后修正image size后dump"

ret
err:
msg "error"
ret

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (3)
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 24 关注私信	KuNgBiM 66 2 楼 sustian!!!! 2006-11-5 17:38 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 3 楼 sustain. 2006-11-5 17:49 0
Gendhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	Gendhu 4 楼 thank 2006-11-5 21:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

skylly

发帖

1087

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区