//////////////////////////////////////////////////
// FileName : MEW 11 V1.0-V1.2.osc
// Comment : MEW 11 V1.0-V1.2 OEP Find
// Environment : WinXP SP2,OllyDbg V1.10,OllyScript V0.92
// Author : fly
// WebSite : http://www.unpack.cn
// Date : 2005-10-03 20:30
//////////////////////////////////////////////////
#log
MSGYN "Plz Clear All BreakPoints And Set Debugging Option Ignore All Excepions Options !"
cmp $RESULT, 0
je TryAgain
//GameStart――――――――――――――――――――――――――――――――
sti
find eip, #C30000#
cmp $RESULT, 0
je NoFind
eob Break
bp $RESULT
log $RESULT
esto
GoOn:
esto
Break:
cmp eip,$RESULT
jne GoOn
bc $RESULT
sto
//GameOver――――――――――――――――――――――――――――――――
log eip
cmt eip, "This is the OEP! Found By: fly"
MSG "Just : OEP ! Dump and Fix IAT. Good Luck "
ret
NoFind:
MSG "Error! Maybe It's not MEW 11 V1.0-V1.2 ! "
ret
TryAgain:
MSG " Please Try Again ! "
ret
700+ OllyDbgScripts
猛击此处下载文件!https://cloud.189.cn/t/jmemA3a6fqIj (访问码:lf58) 
2008-04-05 20:47 220 32Lite 0.03a OEP Finder v0.1.txt
2006-01-15 00:00 218 32Lite 0.03a OEP V0.1.txt
2008-05-18 00:33 218 32LITE 0.03A OEP-FINDER V.0.1.txt
2004-11-14 19:55 218 32Lite 0.03a.txt
2008-05-18 00:33 2,490 ActiveMark 5.4x Level 2 EP Finder + Fix CRC.txt
2008-05-18 00:33 1,380 ActiveMark 5.4x Remove Selfchecks.txt
2008-05-18 00:33 474 ActiveMark 5.xx Level 2 EP Finder.txt
2006-01-15 00:00 801 ActiveMark Level 2 EP Finder.txt
2006-01-15 00:00 441 ActiveMark Patching Script.txt
2008-04-05 20:50 2,648 activemark54x.txt
2008-04-05 20:50 4,919 AddrEnc.txt
2008-04-05 20:50 1,075 AHpack 0.1 OEP Finder .txt
2008-04-05 20:50 1,017 AHTeam EP Protector 0.3a.txt
2008-04-05 20:50 1,227 AHTeam EP Protector 0.3b.txt
2006-01-15 00:00 3,515 Alex Protector 1.0 Beta 2 Fix IAT + Remove Junk Code v0.1.txt
2008-04-05 20:50 3,515 ALEX PROTECTOR 1.0 BETA2 V0.1.txt
2006-01-15 00:00 3,515 ALEX Protector1.0.txt
2008-04-05 20:50 801 AM.level2.ep.finder.txt
2008-04-05 20:51 396 AM.patching.script.txt
ExeInfo PE ver. 0.0.2.4 by A.S.L ( c ) 2006.03 – 2009.xx
___________________________________________________________________________
ExeInfo PE ver. 0.0.2.4 by A.S.L ( c ) 2006.03 – 2009.xx
freeware version for Windows XP
Windows 32 PE executable file checker , compilators, exe packers ….
with solve hint for unpack / internal exe tools / rippers
___________________________________________________________________________
猛击此处下载!
yoda’s Protector 1.3 -> Ashkbiz Danehkar 手脱笔记
目标:Agama Web Buttons2.52
用od载入后忽略所有异常,对code段下F2断点,F9运行,注意观察堆栈窗口,直到出现Se handle
普通壳的脱壳方法和脱壳技巧【转载】
常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
脱壳的几种方法:
方法一:单步跟踪
方法二:ESP定律脱壳
方法三:内存跟踪
方法四:跟踪出口法
方法五:最后一次异常法
方法六:懒人脱壳法
PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode脱壳手记 [转载]
今天要脱的是PEncrypt 4.0加的壳,是一个记事本程序,这个记事本程序比较奇怪,令我的修复出现了一点点小的波折。
加壳的记事本程序下载地址: [点击浏览该文件:PEncrypt V4.0.rar]
首先PEID查壳,显示:PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay],有附加数据。然后用ollydbg载入,设置“调试选项”,在“异常”中,把所所有的勾都去掉,不要忽略异常。然后按shift+F9忽略异常运行,应该是按3次,这个记事本就运行了。