|
大家好,我这个头像怎么样?
跟着小Z师傅一起用。 |
|
[讨论]碰到流氓软件咋办?
虚拟机。 |
|
[原创]ASPACK 2.2 破解手记
CR妹妹的文章必须要顶。 |
|
[讨论]女病毒分析师冒个泡贝
楼主需要的已经冒泡了。。。 |
|
手动脱壳进阶13篇中的异常
不明白你的意思,你贴的是IsDebuggerPresent(),是个最最简单的反调试,不明白你说的异常时什么意思。 |
|
[讨论]天草初级班第16课的一点疑问
第一个问题: 这要涉及到有关线程的相关知识。 看patch的代码: pushad pushfd //前面2句是保存现场 push ecx xor eax,eax push eax push eax call kernel32.CreateMutexA //看这几句:eax = CreateMutex( NULL, FALSE, ECX); popfd popad //恢复现场 jmp kernel32.OpenMutexA //// 跳回OpenMutexA 该patch代码的作用就是在OpenMutexA函数加载前建立好互斥对象,让Armadillo无法建立多进程。 这就是为什么这样patch代码的原理 第二个问题和第三个问题:怎么发现的,为什么中断2次等等问题,这都是前人跟踪调试所总结的方法,想知道为什么,就自己手动调试下吧。比如第三个magic jump的方法,你完全可以不用这种方法来进行IAT加密处理。方法有很多,不过这种方法很方便,也很实用,所以一直沿用了这种。 |
|
[推荐]给大家一个高难级别的来脱壳
没发现有多难修复了 1.往下拉,找下面的代码: 004307FF AD lods dword ptr ds:[esi] 00430800 50 push eax 00430801 EB 09 jmp short crackme.0043080C 00430803 FE0E dec byte ptr ds:[esi] 00430805 - 0F84 5B1EFDFF je crackme.00402666 0043080B 56 push esi 0043080C 55 push ebp 0043080D FF53 04 call dword ptr ds:[ebx+4] 00430810 AB stos dword ptr es:[edi] 在 00430805 - 0F84 5B1EFDFF je crackme.00402666 设置条件断点 [esi]==0 中断后,F7就来到OEP了 dump+ImportREC修复,无效的剪掉 载入脱壳后的程序,去掉所有忽略异常前面的勾,运行,中断下来 0040125F 8D85 CCFDFFFF lea eax,dword ptr ss:[ebp-234] 00401265 8D8D E4FEFFFF lea ecx,dword ptr ss:[ebp-11C] 0040126B 50 push eax 0040126C 51 push ecx 0040126D E8 00F00000 call dumped_.00410272 00401272 81BD D8FDFFFF 45FB00>cmp dword ptr ss:[ebp-228],0FB45 0040127C 7E 02 jle short dumped_.00401280 0040127E CD 13 int 13 //中断在这 00401280 8D4D E4 lea ecx,dword ptr ss:[ebp-1C] 00401283 895E 64 mov dword ptr ds:[esi+64],ebx 00401286 895E 60 mov dword ptr ds:[esi+60],ebx 00401289 885E 68 mov byte ptr ds:[esi+68],bl 0040128C C745 FC FFFFFFFF mov dword ptr ss:[ebp-4],-1 00401293 E8 F8E70000 call dumped_.0040FA90 00401298 8B4D F4 mov ecx,dword ptr ss:[ebp-C] 0040129B 5F pop edi 0040129C 5E pop esi 0040129D B8 01000000 mov eax,1 004012A2 5B pop ebx 004012A3 64:890D 00000000 mov dword ptr fs:[0],ecx 004012AA 8BE5 mov esp,ebp 004012AC 5D pop ebp 004012AD C3 retn 中断在int 13处,接着往上找,很明显了。。。 0040127C 7E 02 jle short dumped_.00401280 改为jmp,保存,OK了。。。 |
|
|
|
[求助]关于PE文件格式的求助
有看过的么?麻烦说下啊,谢谢 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值