|
[讨论]某外挂的部分分析
便宜 |
|
Armadillo V4.40主程序脱壳
这2个人最近都变态 |
|
Armadillo440 public unpacked&cracked
heXer把我们宠坏了 |
|
据可靠消息,VMP有挂的危险,解密器已经快开发完成。
楼上也太水了吧 |
|
|
|
如何清除EXECryptor 226的注册信息?
我提供2种思路 1. 分析ExeCryptor是怎么写进去的, 既然它能写进去,就模拟它的方法写个空串进去 2. 从0环删除 这2种方法我都没有实力去搞定, 那天我还试了脚本,IceSword等方法都失败了。。。 那个键值太变态了 |
|
OllyScript v0.92 source
名必留强贴,我顶 |
|
[求助]tls表里的东西一定先于EP的代码运行吗?
我那个例子,是硬写的 对于1.exe 最开始4020E0指向的TlsCallBackTable为0, 因此从ep开始,等aspack把数据解码还原后,oep那里是空的所以异常了, 退出进程的时候,因为TlsCallBackTable被aspack解码有值 ,因此那里执行一次 对于2.exe 让我郁闷了好久 它有TlsCallBackTable,就是没进去,没啥特别啊,为啥就是不进呢? 后来自己又写了个3.exe, 只有一个kernel32指针的输入表,就因为下面这个 7C9369AB 64:A1 1800000>mov eax,dword ptr fs:[18] 7C9369B1 8B40 30 mov eax,dword ptr ds:[eax+30] 7C9369B4 8B48 0C mov ecx,dword ptr ds:[eax+C] 7C9369B7 83C1 1C add ecx,1C 7C9369BA 8B11 mov edx,dword ptr ds:[ecx] 7C9369BC 33C0 xor eax,eax 7C9369BE 3BD1 cmp edx,ecx 7C9369C0 74 12 je short ntdll.7C9369D4 7C9369C2 8062 25 EF and byte ptr ds:[edx+25],0EF 7C9369C6 F642 25 40 test byte ptr ds:[edx+25],40 //不知道这是检测啥啊,郁闷 7C9369CA 0F84 505F0000 je ntdll.7C93C920 7C9369D0 8B12 mov edx,dword ptr ds:[edx] 7C9369D2 ^ EB EA jmp short ntdll.7C9369BE 7C9369D4 C3 retn 通过一个链表枚举所有的dll模块并检测 检测什么东西呢? kernel32.dll和Shimeng.dll没有进TlsCallBack的门票 再加一个user32.dll就有门票了 别的dll也都有门票, 只要有一张门票就会进TlsCallBack 那些检测的链表, OD截入停在系统断点就存在了,不知道怎么来的 郁闷!世界真奇妙,哎! 附件:3.rar 那个链表是PEB的FastPebLock ,手头上没那块数据结构的资料 |
|
|
|
|
|
[求助]关于C的问题
b[1]的地址 |
|
Come On! 一起来体验一下TLS CALL的强大吧
最初由 softworm 发布 学习, 我去找找再研究一下 |
|
Come On! 一起来体验一下TLS CALL的强大吧
最初由 forgot 发布 前面三个值很模糊,还没有见过应用的例子,只知道会影响Heap和FS:[2C] |
|
|
|
乱弹
关于Tls CallBack 应该是Import被装入后进入 进去的时候,能在Stack中看到ep, 出来后再走走就call ep了 其实进程在ExitProcess退出的时候, 还会进一次这个CallBack 大约是在ExitProcess中的LdrShutDownProcess中进的 当然如果喜欢用int2E或sysenter退进程就不会到那个地方了 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值