/* 2019.4.4
ESP保護殼
易語言編譯結果混淆.
Chinese program protection shell.
Unpack腳本V2.1 by 一葉
PS:不足之處請指正
大佬巨佬勿噴
腳本小子繞道
*/
cmp KaTeX parse error: Expected 'EOF', got '#' at position 191: …定義變量
find eip, #̲60# //查找代碼puhsh…RESULT //返回值賦給變量
bp cc //變量下斷
run //運行
bc cc //刪除斷點
sto //單步
bphws esp,“r” //esp下硬件訪問斷點
run //運行
bphwcall //清除所有硬件斷點
find eip,#E9???FF# //查找jmp
mov cc,$RESULT //返回值賦給變量
cmp eip,cc //比較當前是否就是Jmp,防止無效斷點。
je equal //是,跳轉到equal函數
bp cc //變量下斷
run //運行
bc cc //刪除斷點
jmp equal //跳轉到equal函數
exit1:
msg “OD腳本插件版本過低!!請更換OD或插件!” //信息框
ret //返回
exit2:
dbs //恢復隱藏OD
bc //清除所有切換斷點
bphwcall //清除所有硬件斷點
bpmc //清除所有內存斷點
msg “運行完畢!!” //信息框
ret //返回
equal:
sto //單步
cmt eip,“OEP” //註釋
an eip //分析代碼
msgyn “已來到OEP,是否立即dump到原目錄?” //詢問信息框
cmp $RESULT,1 //判斷返回值
jne exit2 //否的話跳轉到exit2
dpe “Dumped.exe”,eip //立即dump
jmp exit2 //跳轉到exit2
ret //返回