[转帖][Script]Execryptor 2.x - 2.41 find VM EP - Stolen OEP-安全工具-看雪-安全社区|安全招聘|kanxue.com

[转帖][Script]Execryptor 2.x - 2.41 find VM EP - Stolen OEP

发表于: 2008-6-16 08:15 6045

[转帖][Script]Execryptor 2.x - 2.41 find VM EP - Stolen OEP

linhanshi

2008-6-16 08:15

6045

From:EXETOOLS

by:trickyboy

Hi everyone, we know that Unpacker Execryptor by RSI (public version) can unpack a lot of target but sometimes it can find OEP (miss VC8 signature in public version)
Ex:
[Option: One-touch Trial + Protect Entry Point] VC8

396K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4Z5M7X3W2K6L8h3y4Q4x3X3g2V1k6g2)9J5c8X3c8W2N6X3g2D9L8%4m8E0k6h3&6@1i4K6u0r3P5r3q4J5M7q4)9J5c8W2S2m8M7Y4m8Q4x3X3g2W2P5r3f1`.

[Option: Not Compress section code, Not dynamic import]

8f1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8D9i4K6u0W2M7r3!0%4k6i4u0S2M7X3y4Z5K9i4k6W2M7W2)9J5k6h3y4G2L8g2)9J5c8U0t1H3x3o6N6Q4x3V1k6H3L8%4N6S2M7X3x3I4x3o6t1J5i4K6u0W2k6i4S2W2

So I modified Bypass AntiDebug script to find VM EP or Stolen OEP and you can input it into Unpacker Execryptor.

///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//	FileName		:	Execryptor 2.x - 2.41 find VM EP - Stolen OEP.osc
//	Version			:	1.0
//	Comment			:	modified Bypass anti debug script,just for find Stolen OEP
//	Environment		:	WinXP SP2,OllyICE with Phantom plugin,ODBGScript V1.64+, Check bypass All Exception:00000000 - FFFFFFFF
//	Author			:	Trickyboy
//	WebSite			:	216K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0W2j5h3!0F1L8r3W2F1k6g2)9J5k6h3&6W2N6l9`.`.
//	Date			:	2008-06-15 14:50
///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Data:
	var imagebase
	var ecseg
	var vmseg
	var ep
	var oep
	var vmep
	var codeseg
	var sizeheader
	var oriByte
	var temp
	
Init:
	BPHWCALL
	gmi eip, MODULEBASE
	mov imagebase, $RESULT
	mov codeseg, $RESULT
	mov temp, $RESULT
	gmemi imagebase, MEMORYSIZE
	mov sizeheader, $RESULT
	add codeseg, sizeheader
	add temp, 3C
	mov temp, [temp]
	add temp, imagebase
	add temp, 28
	mov temp, [temp]
	add temp, imagebase
	bc temp									//Clear memory breakpoint at EP
	mov ep, temp
	gmemi eip, MEMORYBASE
	mov ecseg, $RESULT
	gpa "CreateThread", "kernel32.dll"
	mov oriByte, [$RESULT] 					//Store original byte at CreateThread
	mov [$RESULT], #C3#						//Patch RETN at CreateThread
	
FindSOEPNotPacked:
	mov temp, eip							//Store current EIP
	cmp [codeseg], 00000000				//Is section code null?
	je FindVMEP								
	mov eip, codeseg						//If section code is not packed
	eval "JMP 0{ep}"
	findcmd eip, $RESULT					//Find command JMP EP
	cmp $RESULT, 0							
	jne FoundSOEP							//Found OEP
	
FindVMEP:
	mov eip, temp							//Restore last EIP
	bphws ep, "x"
	esto
	bphwc ep
	mov temp, ecseg
	sub temp, 1
	gmemi temp,MEMORYBASE
	mov vmseg,$RESULT
	gmemi temp,MEMORYSIZE
	bprm vmseg,$RESULT
	esto
	bpmc
	mov vmep, eax
	sti
	bprm vmep, 1
	
LoopFind:
	esto
	cmp eip, vmep
	jne LoopFind
	
FoundVMEP:
	bpmc
	mov temp, vmep
	sub temp, imagebase
	eval "VM EP: {vmep} RVA: {temp}"
	log $RESULT
	mov temp, $RESULT
	msg temp
	eval "<== Found VM EP by Trickyboy. {temp}"
	cmt vmep, $RESULT
	gpa "CreateThread","kernel32.dll"
	mov [$RESULT],oriByte					//Restore CreateThread API
	
FindSOEP:
	mov eip,codeseg
	eval "JMP 0{vmep}"
	findcmd eip,$RESULT
	cmp $RESULT,0
	je notFoundSOEP
	
FoundSOEP:
	mov eip, $RESULT
	mov oep, $RESULT
	mov temp, oep
	sub temp, imagebase
	eval "OEP: {oep} RVA: {temp}"
	log $RESULT
	mov temp, $RESULT
	msg temp
	eval "<== Found Stolen OEP by Trickyboy. {temp}"
	cmt oep, $RESULT
	ret
	
notFoundSOEP:
	mov eip, vmep
	msg "Sorry, not found Stolen OEP !"
	ret

Note:
1. OllyICE + Phantom plugin
2. ODBGScript V1.64+
3. Check bypass all exception in Olly option: 00000000 - FFFFFFFF

Hope it useful!

Regards,

Trick.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#[other]

收藏・2

免费・1

支持

最新回复 (16)
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 2 楼林版，不好意思，这个东东太好了，未经过你的同意，我转了一份到一蓑烟雨论坛，目的是期待那里专门写脚本的高手能把 Unpacker Execryptor脚本纠正整合一下（毕竟术业有专攻嘛），更加强大，方便大家，你不会责怪吧 2008-6-16 19:39 0
pxfpxw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	pxfpxw 3 楼谢谢分享 2008-6-16 20:08 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 4 楼 EXETOOLS论坛都可以转载的. Trickyboy好像是Vietnamese. 2008-6-16 20:52 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 5 楼我知道的，可是EXETOOLS 论坛注册好像需要邀请码，无法注册，就导致好多文章看不到，好多工具下不了，嘿嘿，可能是我等级还比较低吧，我就等着哪天此论坛大赦，我就去抢个ID回来 2008-6-18 07:37 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 6 楼感謝大大分享腳本 2008-6-18 08:07 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 7 楼 Update NOTE!!! 1. OllyICE + Phantom plugin 2. ODBGScript V1.64+ 3. Olly Advanced (Break on TLS Callback) so script can get correct imagebase 4. Check bypass all exception in Olly option: 00000000 - FFFFFFFF trickyboy 2008-6-18 08:58 0
阿扁鱼雪币： 404 活跃值： (681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 222 粉丝 0 关注私信	阿扁鱼 8 楼谢谢分享 ........... 2008-6-18 15:47 0
trickyboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	trickyboy 9 楼 Hi all, I updated script to version 1.1. It can find stolen OEP some special target of Borland Delphi. ( public version Unpacker Execryptor can't find) Ex: 2deK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8A6M7$3E0A6L8Y4c8W2M7X3&6S2L8s2y4Q4x3X3g2U0L8$3#2Q4x3V1k6X3K9h3I4W2M7#2)9J5c8W2u0S2K9h3c8Q4y4h3k6d9k6h3y4G2N6X3g2J5P5g2)9J5k6h3g2^5k6b7`.`. /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// // FileName : Execryptor 2.x - 2.41 find VM EP - Stolen OEP v1.1.osc // Version : 1.1 // Comment : modified Bypass anti debug script,just for find Stolen OEP // Environment : WinXP SP2,OllyICE with Phantom plugin, // ODBGScript V1.64+, // Olly Advanced (Break on TLS Callback), // Check bypass All Exception:00000000 - FFFFFFFF // Author : Trickyboy // WebSite : 2a9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0W2j5h3!0F1L8r3W2F1k6g2)9J5k6h3&6W2N6l9`.`. // Date : 2008-06-19 09:10 /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// Data: var imagebase var ecseg var vmseg var ep var oep var vmep var codeseg var sizeheader var oriByte var temp Init: BPHWCALL gmi eip, MODULEBASE mov imagebase, $RESULT mov codeseg, $RESULT mov temp, $RESULT gmemi imagebase, MEMORYSIZE mov sizeheader, $RESULT add codeseg, sizeheader add temp, 3C mov temp, [temp] add temp, imagebase add temp, 28 mov temp, [temp] add temp, imagebase bc temp //Clear memory breakpoint at EP mov ep, temp gmemi eip, MEMORYBASE mov ecseg, $RESULT gpa "CreateThread", "kernel32.dll" mov oriByte, [$RESULT] //Store original byte at CreateThread mov [$RESULT], #C3# //Patch RETN at CreateThread FindSOEPNotPacked: mov temp, eip //Store current EIP cmp [codeseg], 00000000 //Is section code null? je FindVMEP mov eip, codeseg //If section code is not packed eval "JMP 0{ep}" findcmd eip, $RESULT //Find command JMP EP cmp $RESULT, 0 jne FoundSOEP //Found OEP FindVMEP: mov eip, temp //Restore last EIP bphws ep, "x" esto bphwc ep mov temp, ecseg sub temp, 1 gmemi temp,MEMORYBASE mov vmseg,$RESULT gmemi temp,MEMORYSIZE bprm vmseg,$RESULT esto bpmc mov vmep, eax sti bprm vmep, 1 LoopFind: esto cmp eip, vmep jne LoopFind FoundVMEP: bpmc mov temp, vmep sub temp, imagebase eval "VM EP: {vmep} RVA: {temp}" log $RESULT mov temp, $RESULT msg temp eval "<== Found VM EP by Trickyboy. {temp}" cmt vmep, $RESULT gpa "CreateThread","kernel32.dll" mov [$RESULT],oriByte //Restore CreateThread API FindSOEP: mov eip,codeseg eval "JMP 0{vmep}" findcmd eip,$RESULT cmp $RESULT,0 jnz FoundSOEP FindSOEP2ndseg: //Search on next section gmemi codeseg, MEMORYSIZE mov temp, codeseg add temp, $RESULT mov eip, temp eval "JMP 0{vmep}" findcmd eip,$RESULT cmp $RESULT,0 je notFoundSOEP FoundSOEP: mov eip, $RESULT mov oep, $RESULT mov temp, oep sub temp, imagebase eval "OEP: {oep} RVA: {temp}" log $RESULT mov temp, $RESULT msg temp eval "<== Found Stolen OEP by Trickyboy. {temp}" cmt oep, $RESULT ret notFoundSOEP: mov eip, vmep msg "Sorry, not found Stolen OEP !" ret 2008-6-19 11:01 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 10 楼 trickyboy: Welcome to PEDIY Forum. 2008-6-19 14:38 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 11 楼 I hope you can be more than a forum. 2008-6-19 14:40 0
trickyboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	trickyboy 12 楼 Hi, I love this forum but don't know chinese. Hope that I will learn it on this summer. But I still understand you because I have a friend who is chinese. Cheers. 2008-6-19 17:29 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 13 楼 trickyboy:Yes.Friend. 2008-6-19 21:14 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 14 楼 I know you in Vietnam is a very good software debugging, I appreciate and praise. 2008-6-19 21:20 0
polelf 雪币： 225 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	polelf 15 楼 i don't known what are you talking 2008-7-26 03:07 0
jnop 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 72 回帖 207 粉丝 0 关注私信	jnop 16 楼 nice script and all friends here ;) 2008-7-26 04:27 0
cxyxjp 雪币： 195 活跃值： (618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 100 粉丝 0 关注私信	cxyxjp 17 楼 I know you in Vietnam is a very good software debugging, I appreciate and praise. 非常感谢 2008-7-26 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

linhanshi

9314

发帖

28042

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 2 楼林版，不好意思，这个东东太好了，未经过你的同意，我转了一份到一蓑烟雨论坛，目的是期待那里专门写脚本的高手能把 Unpacker Execryptor脚本纠正整合一下（毕竟术业有专攻嘛），更加强大，方便大家，你不会责怪吧 2008-6-16 19:39 0
pxfpxw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	pxfpxw 3 楼谢谢分享 2008-6-16 20:08 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 4 楼 EXETOOLS论坛都可以转载的. Trickyboy好像是Vietnamese. 2008-6-16 20:52 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 5 楼我知道的，可是EXETOOLS 论坛注册好像需要邀请码，无法注册，就导致好多文章看不到，好多工具下不了，嘿嘿，可能是我等级还比较低吧，我就等着哪天此论坛大赦，我就去抢个ID回来 2008-6-18 07:37 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 6 楼感謝大大分享腳本 2008-6-18 08:07 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 7 楼 Update NOTE!!! 1. OllyICE + Phantom plugin 2. ODBGScript V1.64+ 3. Olly Advanced (Break on TLS Callback) so script can get correct imagebase 4. Check bypass all exception in Olly option: 00000000 - FFFFFFFF trickyboy 2008-6-18 08:58 0
阿扁鱼雪币： 404 活跃值： (681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 222 粉丝 0 关注私信	阿扁鱼 8 楼谢谢分享 ........... 2008-6-18 15:47 0
trickyboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	trickyboy 9 楼 Hi all, I updated script to version 1.1. It can find stolen OEP some special target of Borland Delphi. ( public version Unpacker Execryptor can't find) Ex: 2deK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8A6M7$3E0A6L8Y4c8W2M7X3&6S2L8s2y4Q4x3X3g2U0L8$3#2Q4x3V1k6X3K9h3I4W2M7#2)9J5c8W2u0S2K9h3c8Q4y4h3k6d9k6h3y4G2N6X3g2J5P5g2)9J5k6h3g2^5k6b7`.`. /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// // FileName : Execryptor 2.x - 2.41 find VM EP - Stolen OEP v1.1.osc // Version : 1.1 // Comment : modified Bypass anti debug script,just for find Stolen OEP // Environment : WinXP SP2,OllyICE with Phantom plugin, // ODBGScript V1.64+, // Olly Advanced (Break on TLS Callback), // Check bypass All Exception:00000000 - FFFFFFFF // Author : Trickyboy // WebSite : 2a9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0W2j5h3!0F1L8r3W2F1k6g2)9J5k6h3&6W2N6l9`.`. // Date : 2008-06-19 09:10 /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// Data: var imagebase var ecseg var vmseg var ep var oep var vmep var codeseg var sizeheader var oriByte var temp Init: BPHWCALL gmi eip, MODULEBASE mov imagebase, $RESULT mov codeseg, $RESULT mov temp, $RESULT gmemi imagebase, MEMORYSIZE mov sizeheader, $RESULT add codeseg, sizeheader add temp, 3C mov temp, [temp] add temp, imagebase add temp, 28 mov temp, [temp] add temp, imagebase bc temp //Clear memory breakpoint at EP mov ep, temp gmemi eip, MEMORYBASE mov ecseg, $RESULT gpa "CreateThread", "kernel32.dll" mov oriByte, [$RESULT] //Store original byte at CreateThread mov [$RESULT], #C3# //Patch RETN at CreateThread FindSOEPNotPacked: mov temp, eip //Store current EIP cmp [codeseg], 00000000 //Is section code null? je FindVMEP mov eip, codeseg //If section code is not packed eval "JMP 0{ep}" findcmd eip, $RESULT //Find command JMP EP cmp $RESULT, 0 jne FoundSOEP //Found OEP FindVMEP: mov eip, temp //Restore last EIP bphws ep, "x" esto bphwc ep mov temp, ecseg sub temp, 1 gmemi temp,MEMORYBASE mov vmseg,$RESULT gmemi temp,MEMORYSIZE bprm vmseg,$RESULT esto bpmc mov vmep, eax sti bprm vmep, 1 LoopFind: esto cmp eip, vmep jne LoopFind FoundVMEP: bpmc mov temp, vmep sub temp, imagebase eval "VM EP: {vmep} RVA: {temp}" log $RESULT mov temp, $RESULT msg temp eval "<== Found VM EP by Trickyboy. {temp}" cmt vmep, $RESULT gpa "CreateThread","kernel32.dll" mov [$RESULT],oriByte //Restore CreateThread API FindSOEP: mov eip,codeseg eval "JMP 0{vmep}" findcmd eip,$RESULT cmp $RESULT,0 jnz FoundSOEP FindSOEP2ndseg: //Search on next section gmemi codeseg, MEMORYSIZE mov temp, codeseg add temp, $RESULT mov eip, temp eval "JMP 0{vmep}" findcmd eip,$RESULT cmp $RESULT,0 je notFoundSOEP FoundSOEP: mov eip, $RESULT mov oep, $RESULT mov temp, oep sub temp, imagebase eval "OEP: {oep} RVA: {temp}" log $RESULT mov temp, $RESULT msg temp eval "<== Found Stolen OEP by Trickyboy. {temp}" cmt oep, $RESULT ret notFoundSOEP: mov eip, vmep msg "Sorry, not found Stolen OEP !" ret 2008-6-19 11:01 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 10 楼 trickyboy: Welcome to PEDIY Forum. 2008-6-19 14:38 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 11 楼 I hope you can be more than a forum. 2008-6-19 14:40 0
trickyboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	trickyboy 12 楼 Hi, I love this forum but don't know chinese. Hope that I will learn it on this summer. But I still understand you because I have a friend who is chinese. Cheers. 2008-6-19 17:29 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 13 楼 trickyboy:Yes.Friend. 2008-6-19 21:14 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 14 楼 I know you in Vietnam is a very good software debugging, I appreciate and praise. 2008-6-19 21:20 0
polelf 雪币： 225 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	polelf 15 楼 i don't known what are you talking 2008-7-26 03:07 0
jnop 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 72 回帖 207 粉丝 0 关注私信	jnop 16 楼 nice script and all friends here ;) 2008-7-26 04:27 0
cxyxjp 雪币： 195 活跃值： (618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 100 粉丝 0 关注私信	cxyxjp 17 楼 I know you in Vietnam is a very good software debugging, I appreciate and praise. 非常感谢 2008-7-26 15:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复