|
|
|
[注意]玩魔兽的进来留个名!!!
由于工作的关系,现在不能像以前一样完整的看联赛了,只是闲着就去网上翻翻看,WE夺冠赛到现在都没有看的 |
|
|
|
[原创]二哥的超经典教程,手动脱壳十八篇载点
对原理的讲解没有,对技术的提高没有多大帮助 |
|
[求助]求高人破解!!!!不胜感激!!!
哈哈,哈哈,你还是赶快修改吧,小心封ID,哈哈,恭喜楼主! 第一帖就是请求破解的,看来是个马甲的多数了,哈哈。你换个马甲,管理员照样认识你的,不要执迷不悟,赶快闪吧。 哈哈。 |
|
[通告]论坛被攻击的记录[2008.6.6再次被恶意攻击着]
出来顶一下,黑客高手赶快上呀,扬名立万的时刻到了,诺大个技术论坛总有几个学网络的吧,即使没有,也应该能联系到几个的吧,大家上呀!!!! 网络安全方面,貌似邪恶八进制论坛很牛滴,是高端的黑客技术论坛,我记得里面有一句话:这是一个以黑客精神为支柱的论坛。 kanxue老大是不是可以考虑,联系他们提供技术支持,整死攻击者。 |
|
[原创]动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
最后顶一下,大家还是让它沉下去吧,呵呵 |
|
[原创]动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
更新了一点东西,添加上了ExeStealth壳的运行流程和脱壳方法。 虽然我说的第一个方法很垃圾,但还是纠正一下,我说的是执行到返回(ctrl+F9),不是忽略执行(shift+F9),至于说跟进系统空间代码太多的问题,我没有见过楼主的病毒不知道,在我举例的这个壳里面,很短的,你F8执行下来ret后马上就可以看到ZWContinue函数了,进去后sysenter指令就近在眼前了,很快速。 |
|
[原创]一个短小精悍病毒的分析
我来看看,顺便赞一个。 |
|
|
|
[原创]动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
修正一下错误,用我说的方法按执行到返回(ctrl+F9)和楼主的方法下当前段的内存访问断点都是有局限性的:我的返回到的地方已经过了一些代码了(最糟糕的,还不一定返回的来),楼主的如果程序不是返回到当前段,而是其他的地方也是拦截不住的(可以对付大多数情况)。最有效的方法是F7跟进系统代码里,几个ret后会看到ZWContinue函数一定要F7跟进,它会调用ntdll.KiFastSystemCall(不知道有没有写对!)也是一定要F7跟进,里面有着sysenter指令,你F8过了这条指令就返回了,很有效,貌似可以针对任何情况。 ExeStealth的壳就是采用这种方法的,第一个SEH可以用楼主的方法返回,壳跳转到OEP的方法也是这样的,但是它跳到的是另一个段,跟进系统空间后返回就可以dump下来,用一级跟踪修复IAT表就轻松搞定了。顺便就说一下ExeStealth这个壳的特点和脱壳方法,对象不是新版的,版本号忘了(汗呀!)从二哥的豪华版脱壳进阶哪里下的:这个壳最主要的优点在于流程非常清晰,特别适合有一些基础的脱壳手练习,有一些很弱的花指令,壳程序位于最后一个段,有两段自修改壳程序的SMC代码,进入后有一段,然后就是进入系统空间的SEH,用楼主或我上面说的来返回,有一个检测IsDebuggerpresent函数的反调试,里面所有的函数名字符串都是加密了的,临时解密出来用LoadLibrary和GetProcAddress函数获取,然后就马上填充00覆盖了,原程序的段解密在SEH后面进行,动态申请空间,IAT表都是在动态内存里,然后就是00覆盖掉已经执行的壳代码,又是一个进入系统空间的SEH,从sysenter返回后就可以dump了,由于IAT表在动态内存里,调用函数都是先跳到动态内存地址再跳进系统函数里,用OD的dump功能dump下来,重建输入表功能太弱不使用,用Import的一级追踪就全部出来了。真的,这个壳的特点就是流程太明显了,没有垃圾操作,单步下来,全部都是一个壳应该做的事,很清晰明了,适合练手!!! 还搞不懂它的运行机制,今天太晚了,明天好好复习一下seh,看看到底是什么因素影响着这种SEH方式的返回地址。当然希望高手进来给予解答一下或指点一下,不胜感激!!!! |
|
[求助]一个新手的关于字符密码解密的问题!
我也不知道,但是 你只要加密的字符串的话,你管它是怎么加密的!OD定位到加密函数,修改数据让它读取你要加密的字符串,然后到函数结束的地方拦截,不就可以得到加密了的字符串了? 打了上面的话才反应过来,你当然是没有加密函数,只有解密函数的了,汗呀!!! 只有是弄懂解密函数的解密流程了。 |
|
[原创]动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
不停的按执行到返回,就可以回到源程序的领空了 |
|
[求助]怎么判断用F7跟进
没法判断,完全靠经验,还有上下文的结合,还有已经F7进去过,还有运气,还有猜测它的执行流程,还有瞎蒙来判断是否进入。 |
|
[求助]这段代码看不懂
这么多call,只看这段代码,怕是神仙也不知道它在做什么!!(期待高手出现) 前面压的那么多0,貌似就是变相的分配局部变量,后面[ebp-C]等样的就是在使用它们。 接着就是设置SEH处理 然后测试了一个标志位是否为0,不为0就继续。 最后就是N多的call,鬼都不知道它要搞么,call都是使用局部变量,建议你F7进去后,多注意返回的值。 就这么一点。 |
|
[求助]如何设置节属性可写
PE编辑工具直接改段属性 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值