-
-
[原创]ID Application Protector 1.2 Unpacker
-
发表于: 2008-11-21 14:12
-
近来国内外论坛上都在讨论这个新兴的加密壳,界面很美观,据说功能还不错,最新版V1.2,我下载研究了一下,写了个脱壳脚本,请大家测试,有问题可以跟帖讨论
最新版下载:
970K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3W2V1M7$3g2U0N6i4u0A6N6s2W2K6N6h3W2@1k6g2)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3K9h3c8S2M7s2m8D9K9h3y4S2N6r3W2G2L8Y4m8J5L8%4c8W2j5%4c8G2M7Y4y4W2N6s2g2H3i4K6u0W2k6i4S2W2
注册机下载:
15cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6X3W2W2N6%4c8Z5M7X3g2S2k6q4)9J5k6i4m8Z5M7q4)9K6c8Y4c8A6k6q4)9K6c8o6x3H3x3o6R3%4i4K6t1$3k6i4S2@1M7X3q4Q4x3@1c8H3j5h3N6W2i4K6t1#2x3@1b7J5
应qifeon兄要求,同时提供两种方法的脱壳过程:
一、先在.rsrc区段下断,F9运行暂停后
在.idata或者.data段下断,F9运行暂停后
在.code(即00401000段)下断,F9运行即到OEP
二、搜索特征命令(也是几次脱相关壳后所找到的关键点)——>脚本采用这种方法
Ctrl+B搜索“368B7D08368B750C368B4D1031C03EAC26AA”即
0046BF05 36:8B7D 08 mov edi,dword ptr ss:[ebp+8] 0046BF09 36:8B75 0C mov esi,dword ptr ss:[ebp+C] 0046BF0D 36:8B4D 10 mov ecx,dword ptr ss:[ebp+10] 0046BF11 31C0 xor eax,eax 0046BF13 3E:AC lods byte ptr ds:[esi] 0046BF15 26:AA stos byte ptr es:[edi]
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
