ESP定律轻松搞定PEBundle 0.2 - 3.x-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

ESP定律轻松搞定PEBundle 0.2 - 3.x

发表于: 2004-12-1 14:16 4972

ESP定律轻松搞定PEBundle 0.2 - 3.x

pendan2001 活跃值

2004-12-1 14:16

4972

大圣传奇3G 1.1免费版外挂
e54K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8S2M7$3N6S2L8h3g2Q4x3X3g2U0L8$3#2Q4x3V1j5`.

保护方式：PEBundle 0.2 - 3.x - Jeremy Collake

OD设置忽略全部异常设置,载入程序
00448000 d>  9C                pushfd
00448001    60                pushad ///esp=0012FFC0
00448002    E8 02000000       call dsmir3G1.00448009
00448007    33C0             xor eax,eax
00448009    8BC4             mov eax,esp
0044800B    83C0 04          add eax,4
0044800E    93                xchg eax,ebx
0044800F    8BE3             mov esp,ebx

hr 12FFC0,F9运行

00448371    68 00504400       push dsmir3G1.00445000
00448376    C3                retn
00445000    9C                pushfd
00445001    60                pushad  /////////
00445002    E8 02000000       call dsmir3G1.00445009

hr 12FFC0,F9运行
00445371    68 00204400       push dsmir3G1.00442000
00445376    C3                retn
00442000    9C                pushfd
00442001    60                pushad /////////////
00442002    E8 02000000       call dsmir3G1.00442009

hr 12FFC0,F9运行
00442371    68 C0D14000       push dsmir3G1.0040D1C0
00442376    C3                retn
0040D1C0    60                pushad
0040D1C1    BE 00A04000       mov esi,dsmir3G1.0040A000
0040D1C6    8DBE 0070FFFF    lea edi,dword ptr ds:[esi+FFFF700>
0040D1CC    57                push edi
0040D1CD    83CD FF          or ebp,FFFFFFFF
0040D1D0    EB 10             jmp short dsmir3G1.0040D1E2
0040D1D2    90                nop
0040D1D3    90                nop
0040D1D4    90                nop
0040D1D5    90                nop
0040D1D6    90                nop
0040D1D7    90                nop
0040D1D8    8A06             mov al,byte ptr ds:[esi]
0040D1DA    46                inc esi
0040D1DB    8807             mov byte ptr ds:[edi],al
0040D1DD    47                inc edi
0040D1DE    01DB             add ebx,ebx
0040D1E0    75 07             jnz short dsmir3G1.0040D1E9
0040D1E2    8B1E             mov ebx,dword ptr ds:[esi]
0040D1E4    83EE FC          sub esi,-4
0040D1E7    11DB             adc ebx,ebx
0040D1E9 ^ 72 ED             jb short dsmir3G1.0040D1D8
0040D1EB    B8 01000000       mov eax,1
0040D1F0    01DB             add ebx,ebx
0040D1F2    75 07             jnz short dsmir3G1.0040D1FB
0040D1F4    8B1E             mov ebx,dword ptr ds:[esi]
0040D1F6    83EE FC          sub esi,-4
0040D1F9    11DB             adc ebx,ebx
0040D1FB    11C0             adc eax,eax
0040D1FD    01DB             add ebx,ebx
0040D1FF ^ 73 EF             jnb short dsmir3G1.0040D1F0
0040D201    75 09             jnz short dsmir3G1.0040D20C
0040D203    8B1E             mov ebx,dword ptr ds:[esi]
0040D205    83EE FC          sub esi,-4
0040D208    11DB             adc ebx,ebx
0040D20A ^ 73 E4             jnb short dsmir3G1.0040D1F0
0040D20C    31C9             xor ecx,ecx
0040D20E    83E8 03          sub eax,3
0040D211    72 0D             jb short dsmir3G1.0040D220
0040D213    C1E0 08          shl eax,8
0040D216    8A06             mov al,byte ptr ds:[esi]
0040D218    46                inc esi
0040D219    83F0 FF          xor eax,FFFFFFFF
0040D21C    74 74             je short dsmir3G1.0040D292
0040D21E    89C5             mov ebp,eax
0040D220    01DB             add ebx,ebx
0040D222    75 07             jnz short dsmir3G1.0040D22B
0040D224    8B1E             mov ebx,dword ptr ds:[esi]
0040D226    83EE FC          sub esi,-4
0040D229    11DB             adc ebx,ebx
0040D22B    11C9             adc ecx,ecx
0040D22D    01DB             add ebx,ebx
0040D22F    75 07             jnz short dsmir3G1.0040D238
0040D231    8B1E             mov ebx,dword ptr ds:[esi]
0040D233    83EE FC          sub esi,-4
0040D236    11DB             adc ebx,ebx
0040D238    11C9             adc ecx,ecx
0040D23A    75 20             jnz short dsmir3G1.0040D25C
0040D23C    41                inc ecx
0040D23D    01DB             add ebx,ebx
0040D23F    75 07             jnz short dsmir3G1.0040D248
0040D241    8B1E             mov ebx,dword ptr ds:[esi]
0040D243    83EE FC          sub esi,-4
0040D246    11DB             adc ebx,ebx
0040D248    11C9             adc ecx,ecx
0040D24A    01DB             add ebx,ebx
0040D24C ^ 73 EF             jnb short dsmir3G1.0040D23D
0040D24E    75 09             jnz short dsmir3G1.0040D259
0040D250    8B1E             mov ebx,dword ptr ds:[esi]
0040D252    83EE FC          sub esi,-4
0040D255    11DB             adc ebx,ebx
0040D257 ^ 73 E4             jnb short dsmir3G1.0040D23D
0040D259    83C1 02          add ecx,2
0040D25C    81FD 00F3FFFF    cmp ebp,-0D00
0040D262    83D1 01          adc ecx,1
0040D265    8D142F             lea edx,dword ptr ds:[edi+ebp]
0040D268    83FD FC          cmp ebp,-4
0040D26B    76 0F             jbe short dsmir3G1.0040D27C
0040D26D    8A02             mov al,byte ptr ds:[edx]
0040D26F    42                inc edx
0040D270    8807             mov byte ptr ds:[edi],al
0040D272    47                inc edi
0040D273    49                dec ecx
0040D274 ^ 75 F7             jnz short dsmir3G1.0040D26D
0040D276 ^ E9 63FFFFFF       jmp dsmir3G1.0040D1DE
0040D27B    90                nop
0040D27C    8B02             mov eax,dword ptr ds:[edx]
0040D27E    83C2 04          add edx,4
0040D281    8907             mov dword ptr ds:[edi],eax
0040D283    83C7 04          add edi,4
0040D286    83E9 04          sub ecx,4
0040D289 ^ 77 F1             ja short dsmir3G1.0040D27C
0040D28B    01CF             add edi,ecx
0040D28D ^ E9 4CFFFFFF       jmp dsmir3G1.0040D1DE
0040D292    5E                pop esi
0040D293    89F7             mov edi,esi
0040D295    B9 0E020000       mov ecx,20E
0040D29A    8A07             mov al,byte ptr ds:[edi]
0040D29C    47                inc edi
0040D29D    2C E8             sub al,0E8
0040D29F    3C 01             cmp al,1
0040D2A1 ^ 77 F7             ja short dsmir3G1.0040D29A
0040D2A3    803F 01          cmp byte ptr ds:[edi],1
0040D2A6 ^ 75 F2             jnz short dsmir3G1.0040D29A
0040D2A8    8B07             mov eax,dword ptr ds:[edi]
0040D2AA    8A5F 04          mov bl,byte ptr ds:[edi+4]
0040D2AD    66:C1E8 08       shr ax,8
0040D2B1    C1C0 10          rol eax,10
0040D2B4    86C4             xchg ah,al
0040D2B6    29F8             sub eax,edi
0040D2B8    80EB E8          sub bl,0E8
0040D2BB    01F0             add eax,esi
0040D2BD    8907             mov dword ptr ds:[edi],eax
0040D2BF    83C7 05          add edi,5
0040D2C2    89D8             mov eax,ebx
0040D2C4 ^ E2 D9             loopd short dsmir3G1.0040D29F
0040D2C6    8DBE 00B00000    lea edi,dword ptr ds:[esi+B000]
0040D2CC    8B07             mov eax,dword ptr ds:[edi]
0040D2CE    09C0             or eax,eax
0040D2D0    74 45             je short dsmir3G1.0040D317
0040D2D2    8B5F 04          mov ebx,dword ptr ds:[edi+4]
0040D2D5    8D8430 B8E50000    lea eax,dword ptr ds:[eax+esi+E5B>
0040D2DC    01F3             add ebx,esi
0040D2DE    50                push eax
0040D2DF    83C7 08          add edi,8
0040D2E2    FF96 58E60000    call dword ptr ds:[esi+E658]
0040D2E8    95                xchg eax,ebp
0040D2E9    8A07             mov al,byte ptr ds:[edi]
0040D2EB    47                inc edi
0040D2EC    08C0             or al,al
0040D2EE ^ 74 DC             je short dsmir3G1.0040D2CC
0040D2F0    89F9             mov ecx,edi
0040D2F2    79 07             jns short dsmir3G1.0040D2FB
0040D2F4    0FB707             movzx eax,word ptr ds:[edi]
0040D2F7    47                inc edi
0040D2F8    50                push eax
0040D2F9    47                inc edi
0040D2FA    B9 5748F2AE       mov ecx,AEF24857
0040D2FF    55                push ebp
0040D300    FF96 5CE60000    call dword ptr ds:[esi+E65C]
0040D306    09C0             or eax,eax
0040D308    74 07             je short dsmir3G1.0040D311
0040D30A    8903             mov dword ptr ds:[ebx],eax
0040D30C    83C3 04          add ebx,4
0040D30F ^ EB D8             jmp short dsmir3G1.0040D2E9
0040D311    FF96 60E60000    call dword ptr ds:[esi+E660]
0040D317    61                popad
0040D318 - E9 0277FFFF       jmp dsmir3G1.00404A1F ///////////这里就不用说拉！

00404A1F    55                push ebp ////OEP,DUMP
00404A20    8BEC             mov ebp,esp
00404A22    6A FF             push -1
00404A24    68 D06D4000       push dsmir3G1.00406DD0
00404A29    68 A64B4000       push dsmir3G1.00404BA6          ; jmp to MSVCRT._except_handler3
00404A2E    64:A1 00000000    mov eax,dword ptr fs:[0]
00404A34    50                push eax
00404A35    64:8925 00000000 mov dword ptr fs:[0],esp
00404A3C    83EC 68          sub esp,68
00404A3F    53                push ebx
00404A40    56                push esi
00404A41    57                push edi
00404A42    8965 E8          mov dword ptr ss:[ebp-18],esp
00404A45    33DB             xor ebx,ebx
00404A47    895D FC          mov dword ptr ss:[ebp-4],ebx
00404A4A    6A 02             push 2
00404A4C    FF15 88634000    call dword ptr ds:[406388]       ; MSVCRT.__set_app_type
00404A52    59                pop ecx
00404A53    830D 288A4000 FF or dword ptr ds:[408A28],FFFFFFFF
00404A5A    830D 2C8A4000 FF or dword ptr ds:[408A2C],FFFFFFFF
00404A61    FF15 24634000    call dword ptr ds:[406324]       ; MSVCRT.__p__fmode
00404A67    8B0D 1C8A4000    mov ecx,dword ptr ds:[408A1C]
00404A6D    8908             mov dword ptr ds:[eax],ecx
00404A6F    FF15 28634000    call dword ptr ds:[406328]       ; MSVCRT.__p__commode

脱壳后的程序，直接可以成功运行。

附件:Downloads.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・1

支持

最新回复 (2)
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2 楼怎么没人回复啊:D 2004-12-2 13:35 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 3 楼不错,我来顶一下. 2004-12-2 20:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pendan2001

发帖

1180

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (2)
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2 楼怎么没人回复啊:D 2004-12-2 13:35 0
tane 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 119 粉丝 1 关注私信	tane 3 楼不错,我来顶一下. 2004-12-2 20:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复