p; jmp short 0090C261
*/
eob StolenOEP
bp $RESULT
esto
StolenOEP:
bc $RESULT
mov temp,eip
cmt temp,"Fixed ImportTable. "
inc temp
cmt temp,"There is some Special API need Handed Repaired. "
/*
0090C06E E9 2A53AFFF jmp 0040139D
0090C073 EB 04 jmp short 0090C079
*/
find eip,#E9????????EB#
log $RESULT
cmt $RESULT, "Jump StolenOEP ! Found by heXer & fly "
//GameOver————————————————————————————————
eval " OEP/Stolen= {StolenOEP} ! Plz Watch Stack to Fix StolenOEPCode and Dump and Fix IT + SDK !"
MSG $RESULT
ret
NoFind:
MSG "Error! Don't find. Maybe It's not Obsidium V1.3.0.0-V1.3.0.4 ! "
ret
Only Win2K/XP:
MSG "Error! This Script only Run on the Win2K.SP4/WinXP.SP2 ! "
ret
TryAgain:
MSG " Plz Try Again ! "
ret
点击下载: Obsidium.V1.3.0.0.osc.rar
标 题: Obsidium V1.3.0.0-V1.3.0.4 UnPacK Script 演示
发帖人:fly
时 间: 2005-11-01 16:25
详细信息:
Obsidium V1.3.0.0-V1.3.0.4 UnPacK Script 演示
还是写个简单的脚本演示吧。
—————————————————————————————————
一、PEiD Sign
[Obsidium V1.3.0.0 -> Obsidium Software]
signature = EB 04 ?? ?? ?? ?? E8 ?? 00 00 00
ep_only = true
[Obsidium V1.3.0.4 -> Obsidium Software]
signature = EB 02 ?? ?? E8 ?? 00 00 00
ep_only = true
—————————————————————————————————
二、脚本说明
1、此脚本仅仅支持Obsidium V1.3.0.0和V1.3.0.4加壳程序,不支持其他版本
2、可以在Win2K.SP4/WinXP.SP2上使用,其他NT系统平台需要修改相关函数地址,不支持Win98
3、Get.eXe.PE.Information.osc为包含脚本,和Obsidium V1.3.0.0.osc必须放在相同目录下
4、heXer & fly 合作完成。由于要修复部分特殊函数的分支处理,所以写得很乱,各位见笑了。
5、SDK和某分支处理的特殊函数需要手动修复。Obsidium V1.3增强了输入表函数的加密,下次要换个思路来修复。
6、最后用Obsidium V1.3.0.4加壳Win98记事本来简单演示一下如何使用此脚本。
7、如果Obsidium重定位后的地址低于原eXe的基址,则需要手动处理Obsidium的重定位过程,不过这种情况很少见。
8、脚本已经处理了反跟踪,可以使用OllyDBG原版来运行此脚本。
—————————————————————————————————
三、运行脚本
清除掉以前的所有断点,设置OllyDBG忽略所有异常选项,虽然脚本已经对异常进行了处理,但还是要求忽略所有异常,免得麻烦。载入Test.Obsidium V1.3.0.4.exe
00407000 EB 02 jmp short Test_Obs.00407004
//暂停在壳入口 如果不是暂停在EP,请设置OllyDBG事件选项
00407002 94 xchg eax,esp
运行脚本。Plugins->OllyScript->Run Script->Obsidium V1.3.0.0.osc
选择“是”,脚本开始运行。弹出第2个对话框,提示某些api需要手动修复
第3个对话框弹出后我们要准备修复StolenOEPCode
确定后脚本结束。F7
0090D444 61 popad ; Fixed ImportTable.
//此时我们暂停在这里
0090D445 EB 04 &nb
您当前的位置:
减小字体
增大字体