[SHE]贴两个今年写的工具
放新的3

Themida 1.8.0.0 Demo虚拟机分析(完成,共8章)

最初由 softworm 发布
今天拿不出下一篇了。不是卖关子啊,能坚持一天一集已经不错了

要掌握好时间,每次放一点,一直拖到元旦.

[SHE]贴两个今年写的工具

最初由 shoooo 发布
由于某些原因
准备更新3.exe

快点啊.

[注意]NTkrnl Protector 0.1

最初由 shoooo 发布
这个比execryptor还强！
强在这里：
加了一个有限制的试练品，过期时弹出消息框，这时如果点"ok"正常退出，但如果你点“叉叉”，试练品就跑起来了
晕倒

恩,真是强啊,砍了.

[求助] 谁有Themida 1.7.6.0正式版
抢啊！

EncryptPE V2.2006.10.25
Email: kubeizhenxi@314.com

[求助] 谁有Themida 1.7.6.0正式版
哈哈,大家都喜欢放一些东西来占硬盘啊.

保护知识产权--有偿求股票公式加密技术
你的表达不清,公式是拿来用的,当然要让别人看懂.你要加密的不是股票公式,而是有股票处理公式的软件.拿一个自己看着都晕的算法,与解码配合,使用VM处理关键代码,再套个猛壳就差不多了.

Themida 1.8.0.0 Demo虚拟机分析(完成,共8章)
好晕啊.

HideOD v0.181
这种重要帖应该设定啊!

[求助]大哥们谁有崛北0.28BATE
9494,KBYS早就更新了,赶紧向某人ID+生日@XXX.COM发送邮件,索要新版.

求助！那位兄台可以给个 EXECryptor2.3.9 注册码啊！
恩,和想象的一样.

[SHE]贴两个今年写的工具

最初由 shoooo 发布
嘿嘿 q3大侠贴早了
有失在我心中的形象了

这些3.exe里面差不多也有
但是代码量只占总的1/3
........

没看我是3无人员吗,暂时只发掘出了这一种功能,改天再研究.

[SHE]贴两个今年写的工具
3.exe没帖过吗?

最初由 shoooo 发布
好像heXer曾经说过的
貌似对DEBUG方式的无效


代码:--------------------------------------------------------------------------------
#include <windows.h>
#include <tlhelp32.h>
#include <commdlg.h>
#pragma comment (lib, "comdlg32.lib")
#pragma comment (linker, "/filealign:0x200")
#pragma comment (linker, "/subsystem:windows")
#pragma comment (linker, "/entry:entry")

void AdjustPrivilege(int pid, BOOL bEnable)
{
HANDLE hProcess;
HANDLE hToken=0;
TOKEN_PRIVILEGES tkp;
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Attributes = 0;
if (bEnable)
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if (LookupPrivilegeValue(NULL, "SeDebugPrivilege", &tkp.Privileges[0].Luid))
{
if (hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid))
{
if (OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, &hToken))
{
if (AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, NULL))
{
CloseHandle(hToken);
}
}
CloseHandle(hProcess);
}
}
}

DWORD FindExplorer()
{
HANDLE hC;
DWORD i;
BOOL Next;
char szName[MAX_PATH];

PROCESSENTRY32 p32 = {sizeof(p32)};
hC = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);
Next = Process32First(hC, &p32);
i = 0;
while (Next)
{
wsprintf(szName, "%s", p32.szExeFile);
if (lstrcmpi(szName, "EXPLORER.EXE") == 0)
return p32.th32ProcessID ;
Next = Process32Next(hC, &p32);
i++;
}
CloseHandle(hC);
return 0;
}

HANDLE hProcess;
DWORD ZwCP;
DWORD ZwCPEx;
DWORD NoCP;
DWORD NoCPEx;


void __declspec(naked) FuckZwCP()
{
__asm
{
mov eax, hProcess
mov [esp+0x10], eax
mov eax, NoCP;
push ZwCP;
add dword ptr [esp], 5
retn
}
}

void __declspec(naked) FuckZwCPEx()
{
__asm
{
mov eax, hProcess
mov [esp+0x10], eax
mov eax, NoCPEx;
push ZwCPEx;
add dword ptr [esp], 5
retn
}
}

void Patch()
{
DWORD odpt;

ZwCP = (DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"), "ZwCreateProcess");
ZwCPEx = (DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"), "ZwCreateProcessEx");
if (ZwCP != 0)
{
NoCP = *(LPDWORD)(ZwCP+1);
VirtualProtect((LPVOID)ZwCP, 5, PAGE_EXECUTE_READWRITE, &odpt);
*(LPBYTE)(ZwCP+0x00) = 0xE9;
*(LPDWORD)(ZwCP+0x01) = (DWORD)FuckZwCP - ZwCP - 5;
}
if (ZwCPEx != 0)
{
NoCPEx = *(LPDWORD)(ZwCPEx+1);
VirtualProtect((LPVOID)ZwCPEx, 5, PAGE_EXECUTE_READWRITE, &odpt);
*(LPBYTE)(ZwCPEx+0x00) = 0xE9;
*(LPDWORD)(ZwCPEx+0x01) = (DWORD)FuckZwCPEx - ZwCPEx - 5;
}
}

void entry()
{
AdjustPrivilege(GetCurrentProcessId(), TRUE);
DWORD Pid;
Pid = FindExplorer();
if (Pid == 0)
{
return ;
}
hProcess = OpenProcess(PROCESS_VM_READ | PROCESS_QUERY_INFORMATION | PROCESS_CREATE_PROCESS, FALSE, Pid);
if (hProcess == NULL)
{
return ;
}
Patch();

OPENFILENAME ofn = { sizeof(ofn) };
char szFilter[] = "EXE Files\0*.EXE\0\0";
char szFileName[MAX_PATH];
char szFilePath[MAX_PATH];

ofn.hwndOwner = NULL;
ofn.lpstrFile = szFileName;
ofn.nFilterIndex = 1;
ofn.lpstrFile[0] = 0;
ofn.nMaxFile = MAX_PATH;
ofn.lpstrTitle = "Loader";
ofn.lpstrFilter = szFilter;
ofn.Flags = OFN_EXPLORER | OFN_FILEMUSTEXIST;
if (!GetOpenFileName(&ofn))
{
return ;
}
strcpy(szFilePath, szFileName);
*(strrchr(szFilePath, '\')+1) = 0; //神奇，贴出来后两个反的变成一个了

STARTUPINFO si = {sizeof(si)};
PROCESS_INFORMATION pi = {0};
CreateProcess(NULL, szFileName, NULL, NULL, FALSE, 0, NULL, szFilePath, &si, &pi);
WaitForSingleObject(pi.hProcess, INFINITE);
ExitProcess(0);
}


........

http://bbs1.pediy.com:8081/attachment.php?attachmentid=3493

[游戏]一个奇怪的带壳crackme
Monday, December 04 2006 @ 01:30 AM CET
Contributed by: bpx
Views: 58
Level : 5/10
OS : windows
Language : ASM

Bustme #4
Unpack and find a key =)

这个东西能脱壳吗?

[求助]一个程序脱壳之后却叫人摸不着头发

最初由 shoooo 发布
跑跑卡丁车
yc+aspr1.23rc4+GameGuard最新版

最新版的gamemon.des加了themida了，啦啦啦

themida用的盗版吗?如果是盗版用在商业软件上行吗?

[注意]ROR-Packer0.3(UnpackMe)
xue xi!!!

请教关于 EXECryptor226Cr 和 WinLicense ！！

最初由 skylly 发布
杀是不杀了，反调试也过分强大了,直接双击也运行不了

反内存补丁而已，先把机器上的ＸＸ助手，ＸＸ伴侣，ＸＸ实名，ＸＸ．．．．．．都删了在用．

[讨论]全球首个“虚拟机”杀毒引擎在华发布 解决反病毒领域最大难题
不要从技术上理解，而要从心理学的角度才能更好的理解瑞星此举的意义，这也正是瑞星的区别于其他两大杀软的特点．

请教关于 EXECryptor226Cr 和 WinLicense ！！

最初由 machenglin 发布
测试N个破解版的都是这样。

N+1个就不杀了，看看这个．
http://bbs.pediy.com/upload/2005/8/files/signman.rar