|
[求助]yoda's Protector v1.02 (.dll,.ocx) --> Ashkbiz Danehkar *
保证是tmd的壳,lz你08年注册的啊,看来你比我还不勤快 |
|
[原创]VMProtect 2.06全过程分析
楼主厉害,要是能把插件的代码也公布一下,给大家做个参考就更好了。 |
|
[分享]Attach to hidden process
well , thank you a lot ,this problem is real bugging me a long time . |
|
[求助]为啥我的IDC脚本中对字串的判断无效??
谢谢楼上的。 |
|
[原创]VMProtect2.04加壳程序从入门到精通
常年潜水,但这贴一定要顶,被楼主一点拨,茅塞顿开啊 |
|
关于最新themida的壳,有些弄不清楚的想请教一下,高手进~~
自己回自己的,那个丢失的api可能是RaiseException,都没人理我,唉~~好歹我潜水那么久,难得上来冒个泡 |
|
[讨论]超级变态壳yoda's Protector v1.02请高手指教!
现在查壳软件不准,新版本的vm和td都会报为yoda |
|
[求助]求一个vc2005编写的例程(Themida脱壳)
好的,我想我找到了,谢谢楼上的,接下去看看怎么重建。 由于themida把kernel32的很多函数给模拟了,下断根本没用,而且它还老侦测断点。最后还是通过静态搜代码搜到的。 现在的问题是,怎么把那些模拟了的函数给恢复出来,IAT表的位置我已经找到了,但很多api函数都指向了themida创建的内存空间。有什么思路可以还原??~~~ |
|
[求助]求一个vc2005编写的例程(Themida脱壳)
以下是论坛里以前的vc6的oep: 0040xxxx >/$ 55 push ebp 0040xxxx |. 8BEC mov ebp, esp 0040xxxx |. 6A FF push -1 0040xxxx |. 68 70684100 push 00416870 0040xxxx |. 68 F8304000 push <jmp.&MSVCRTD._except_handler3> 0040xxxx |. 64:A1 00000000 mov eax, dword ptr fs:[0] 0040xxxx |. 50 push eax 0040xxxx |. 64:8925 00000000 mov dword ptr fs:[0], esp 0040xxxx |. 83C4 94 add esp, -6C 0040xxxx |. 53 push ebx 0040xxxx |. 56 push esi 0040xxxx |. 57 push edi 0040xxxx |. 8965 E8 mov dword ptr [ebp-18], esp 0040xxxx |. C745 FC 00000000 mov dword ptr [ebp-4], 0 0040xxxx |. 6A 02 push 2 以上部分被破坏,下面随不同程序稍有不同,脚本能正确将它还原. 0040xxxx |. FF15 708A4100 call dword ptr [<&MSVCRTD.__set_app_type>] 0040xxxx |. 83C4 04 add esp, 4 0040xxxx |. C705 20794100 FFFFFFFF mov dword ptr [417920], -1 0040xxxx |. A1 20794100 mov eax, dword ptr [417920] 0040xxxx |. A3 30794100 mov dword ptr [417930], eax 0040xxxx |. FF15 8C8A4100 call dword ptr [<&MSVCRTD.__p__fmode>] ;相对不变可供搜索 0040xxxx |. 8B0D 0C794100 mov ecx, dword ptr [41790C] ;相对不变可供搜索 0040xxxx |. 8908 mov dword ptr [eax], ecx ;相对不变可供搜索 0040xxxx |. FF15 688A4100 call dword ptr [<&MSVCRTD.__p__commode>] ;相对不变可供搜索 0040xxxx |. 8B15 08794100 mov edx, dword ptr [417908] 0040xxxx |. 8910 mov dword ptr [eax], edx 0040xxxx |. A1 648A4100 mov eax, dword ptr [<&MSVCRTD._adjust_fdiv>] 0040xxxx |. 8B08 mov ecx, dword ptr [eax] 0040xxxx |. 890D 14794100 mov dword ptr [417914], ecx 0040xxxx |. E8 D6010000 call 004030E0 0040xxxx |. 833D D0764100 00 cmp dword ptr [4176D0], 0 0040xxxx |. 75 0E jnz short 00402F21 0040xxxx |. 68 D0304000 push 004030D0 0040xxxx |. FF15 608A4100 call dword ptr [<&MSVCRTD.__setusermatherr>] 0040xxxx |. 83C4 04 add esp, 4 0040xxxx |> E8 8A010000 call 004030B0 0040xxxx |. 68 14754100 push 00417514 0040xxxx |. 68 10744100 push 00417410 0040xxxx |. E8 73010000 call <jmp.&MSVCRTD._initterm> 不知道现在2008的差别会那么大啊~~~ |
|
[求助]求一个vc2005编写的例程(Themida脱壳)
谢谢楼上的,可是可以看到,我标注的代码位置以上全是无意义且不执行的代码,问题是到底themida偷掉了多少代码????!!!!! 这个themida版本好像是最新的2.1.6.0 |
|
[转帖]HanOlly v1.1
支持一下~~ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值