|
[IDA Flair]如何安装?
2010 大礼包光盘中有 |
|
[转帖]VB.Decompiler.Pro.7.9.RETAIL.OFFER.By-1ST
解压密码:@D@#O#$%234o5vc2#$^%@#cv62#OL%^265@#$O%^L 不知道没有有解决非英语系不能识别的问题 Unpacker engine 以往从来没有实际使用价值! |
|
请教:OD同时运行两个exe文件,如何比较?
UltraEdit 需要加载 UltraCompare 才能比较 BIN 文件 |
|
|
|
请教:OD同时运行两个exe文件,如何比较?
直接命令行:fc /b 1.exe 2.exe |
|
救命啊。。一个VB程序 。好难。。。。
没看到程序? |
|
[推荐]发一个万能脱壳机
超级巡警病毒分析工具之File Format Identifier v1.4 大成天下-数据安全实验室(DSW LABS) 出品 本工具是一款辅助进行病毒分析的工具,它包括各种文件格式识别功能,使用超级巡警的格式识别引擎,集查壳、虚拟机脱壳、PE文件编辑、PE文件重建、导入表抓取(内置虚拟机解密某些加密导入表)、进程内存查看/DUMP、附加数据处理、文件地址转换、PEID插件支持、MD5计算以及快捷的第三方工具利用等功能,适合病毒分析中对一些病毒木马样本进行系统处理。 本软件产品为免费软件,用户可以非商业性地下载、安装、复制和散发本软件产品。如果需要进行商业性的销售、复制和散发,例如反病毒公司用来批量分析木马,必须获得DSWLAB的授权和许可,商业公司及团队使用本软件必须获得DSWLAB的授权和许可。 V1.4新增功能: ★新增自动获取导入表功能,该功能使用虚拟机虚拟执行技术来进行导入表的获取,具备自动解密功能,可以轻松获取ImportREC无法正确获取的导入表。(详见下面节九)对该功能有更多想法的人欢迎联系我们。 ★增加的更多的细节描述,对PE文件进行更细致的解析,对错误文件/无效的PE文件/无法执行的PE文件报告错误原因。感谢Pedro Lopez建议此功能。 ★新增皮肤功能,使得界面更漂亮,可在设置中切换自己喜欢的皮肤风格。感谢fly(unpack.cn)建议此功能。 ★扩展签名库集成Fly收集的签名库。感谢fly(unpack.cn)授权。 ★其他几个BUG修正。 V1.3新增功能: ★增加进程查看、终止功能,支持三种dump方式:Dump Full、Dump Partial和Dump Region,支持自动修正模块内存镜像大小。(详见下面节八) V1.2新增功能: ★全面支持PEID插件功能。使用前需要在设置中指定Load Plugins就可以使用PEid的插件功能,无需重启FFI,插件必须放plugins目录下,设置好后点Plugin>>就可看到相应插件。 ★增加支持重建PE的功能,用以修复许多损坏的PE文件,或者脱壳后文件无法重新加壳的情况。 V1.1新增功能: ★增加使用VMUnpacker脱壳引擎进行脱壳的功能,对识别出来的壳可直接点击Unpack按钮脱掉,方便分析加壳木马,本版本脱壳引擎脱壳能力等同于VMUnpacker V1.4 。 ★增加对附加数据的处理,可将附加数据直接删除或者保存为文件,方便进一步分析。 ★增加PE文件的地址转换功能,可方便的换算RAV<->RAW 。 详细功能说明如下: 一、查壳功能: 支持文件拖拽,目录拖拽,可设置右键对文件和目录的查壳功能,除了FFI自带壳库unpack.avd外,还可以使用扩展壳库(必须命名为userdb.txt,此库格式兼容PEID库格式,可以把自己收集的userdb.txt放入增强壳检测功能)。 注:如果是使用扩展库里特征查出的壳,在壳信息后面会有 * 标志。 二、脱壳功能: 如果在查壳后,Unpack按钮可用,则表示可以对当前处理文件进行脱壳处理,采用虚拟机脱壳技术,您不必担心当前处理文件可能危害系统。 三、PE编辑功能: 本程序主界面可显示被检查的程序的入口点/入口点物理偏移,区段等信息,并且提供强大的编辑功能。 其中PE Section后按钮可以编辑当前文件的节表,点击后出现Sections Editor窗口。 主要功能有: ★显示详细的节段信息 ★可查看编辑区段名称、大小、执行属性等相关信息。 ★清除选定的区段名称 ★对区段进行自动修复 ★从磁盘加载区段 ★保存区段到磁盘 ★增加一个新的区段 ★从文件中删除区段 ★从PE头中删除区段(区段内容实质还在) ★用指定的数据填充区段 SubSystem后按钮可以显示PE文件的详细信息,支持详细编辑PE文件的Dos头,NT头等信息,支持查看PE文件的导出表、导入表信息,本项目功能太细致具体请参考界面。 四、附加数据检测: 可扫描应用程序是否包含附件数据,并提供了附加数据详细的起始位置和大小,可以用Del Overlay按钮和Save Overlay按钮进行相应的处理。 五、支持PEid插件: 点Options按钮选择Load Plugins就可以使用PEid的插件功能,无需重启FFI,插件必须放plugins目录下,然后点Plugin>>就可看到相应插件信息。 六、ReBuild PE 功能: 本功能主要是用来对脱壳后的PE文件进行修复,一般可用来解决脱壳后无法重新加壳等问题,使用ReguildPE按钮即可完成此功能。 七、第三方工具支持: 在Options按钮中,点Manage Tools按钮,可以用右键菜单添加/删除IDA/OllyDBG等第三方工具,这样就可以直接在FFI里启动OllyDBG、IDA这些工具来打开当前文件进行反汇编。 注:添加第三方工具后,点Plugin>>按钮就可以看到您添加的工具信息了,点击即可用此工具打开当前处理文件。 八、进程DUMP: 点TaskView按钮后,可以进行进程的终止,进程中模块内存的dump,目前支持三种dump方式:Dump Full、Dump Partial和Dump Region,还支持自动修正主模块内存镜像大小。 九、导入表抓取: 点Get IAT按钮后,选择进程后就可以抓取导入表,在DumpFixer前请填上正确的OEP信息。 如果出现不可识别的函数信息,您可以设置虚拟机解密步数,在导入表信息框中用右键点VM Decode尝试解密这个函数 如果您发现抓取的导入表信息有些不是您想要的,可以在导入表信息框中用右键点Del Thunk或者Cut Thunk让其消失。 如果您要对进程的非主模块抓取导入表,请在Manipulation records窗口中对相应模块信息点右键Load this module,这样抓取的导入表就是这个模块的了。 十、联系我们: 如果您遇到什么问题,或者有什么建议,或者需要我们在添加新功能,可以通过点Email to us发送邮件给我们,如果您认为当前处理文件对我们改进FFI功能或者修正其bug有益,也可以把它当作附件发送给我们。 超级巡警:彻底查杀各种木马,全面保护系统安全。 更多免费工具下载:http://www.sucop.com 专业的桌面与内容安全产品:http://www.unnoo.com |
|
救命啊。。一个VB程序 。好难。。。。
反编译后直接看源码 |
|
|
|
[下载][转帖][推荐]VFP监听程序(VFP HOOKER)2010
已经更新了官方下载地址(压缩包需要密码解开) ----------------------------------------------- VFP监听程序(VFP HOOKER)用户手册 2010 年 01 月 ----------------------------------------------- CCB /-------------------------\ | 第 一 章 程 序 简 介 | \-------------------------/ 加密和解密,是程序员们一个永恒的话题。 对于Vfp程序而言,解密基本上等于破解。如果能破解获得未加密的EXE或APP文件, 借助现有的Vfp反编译软件,即可反编译出源代码。 Vfp监听程序(Vfp Hooker)使用一种全新的Hook方式,几乎可以Hook到目前所有 流行的Vfp加密软件加密的Vfp程序! /-------------------------\ | 第 二 章 运 行 环 境 | \-------------------------/ 一、硬件环境: IBM兼容PC机(PentiumIII 800MHz以上CPU,256MB以上内存)。 二、软件环境: Microsoft Windows 2000/XP/Vista; Microsoft Visual FoxPro 6.0/7.0/8.0/9.0。 /-------------------------\ | 第 三 章 程 序 安 装 | \-------------------------/ 把Vh.fxp、Vh.dll、Vh.ini拷贝到Vfp程序文件夹下即可。 如果有数据文件夹,同时把Vh.fxp、Vh.dll、Vh.ini拷贝到数据文件夹下。 /------------------------\ | 第 四 章 HOOK 方 法 | \------------------------/ 通常,只要Vfp程序调用Vh.fxp,就可以Hook获得未加密的APP文件。 怎样让Vfp程序调用Vh.fxp呢?从易到难,有以下方法: 一、数据库BeforeOpenTable事件 BeforeOpenTable在打开每个表之前都会调用,是最简单有效的方法。 参考代码: PROCEDURE dbc_BeforeOpenTable(cTableName) vh() ENDPROC 注意事项: 1、此方法只适用于Vfp 7.0/8.0/9.0,不适用于Vfp 6.0(Vfp 6.0参考方法二); 2、必须在数据库设计器中选中“Set Events On”。 二、索引、表触发器、记录有效性规则、字段有效性规则、字段默认值 索引参考代码: INDEX ON vh() TAG vh 表触发器参考代码: CREATE TRIGGER ON "VHTEST" FOR DELETE AS vh() CREATE TRIGGER ON "VHTEST" FOR INSERT AS vh() CREATE TRIGGER ON "VHTEST" FOR UPDATE AS vh() 记录有效性规则参考代码: ALTER TABLE "VHTEST" SET CHECK vh() 字段有效性规则参考代码: CHECK vh() 字段默认值参考代码: IIF(vh(),0,0) IIF(vh(),"","") 注意事项: 1、此方法适用于Vfp 6.0/7.0/8.0/9.0; 2、此方法只适用于数据库,不适用于自由表(自由表参考方法三)。 三、自由表 对于自由表,可以新建数据库,然后把自由表添加到数据库中。 参考代码: CREATE DATABASE "VHTEST.DBC" ADD TABLE "VHTEST.DBF" 四、表单 通常,包含在EXE文件中的表单文件是只读的,不能修改。 使用OllyDbg或WinHex扫描内存,把内存中的表单文件名改名。 例如,可以把APP内存映像之文件名描述中的VHTEST.SC*改为XXTEST.SC*, 然后新建表单VHTEST.SCX。 表单参考代码: PROCEDURE Init vh() ENDPROC 五、内存 使用OllyDbg或WinHex直接修改内存中的Vfp伪代码。 可以把Vfp伪代码改为: 0x01 0x76 0x68 0x28 0x29 0x0A ---- ------------------- ---- CMD vh() end Vfp伪代码参考: 0x01 0x44 0x4F 0x3F 0x0A ---- -------------- ---- CMD DO? end 0x01 0x2A 0x?? 0x?? 0x0A ---- -------------- ---- CMD *?? end 0x39 0xD5 0xFE ---- --------- READ EVENTS 六、Vfp运行库 可以使用经VFPRUNFIX修改后Vfp运行库,在程序启动时调用vh()。 七、其它 如果有报表预览窗口,可以在报表表达式中调用vh(): SHIFT+F10, 属性, 表达式或打印条件:vh() /---------------------------\ | 第 五 章 HOOK 三 步 曲 | \---------------------------/ 如果Vfp程序调用了Vh.fxp,三步即可Hook获得未加密的APP文件。 一、扫描内存(SCAN) 通常情况下,用户程序使用0-2G内存空间,Windows系统内核使用2G-4G内存空间。 可以在Vh.ini中设置扫描内存范围,如: HOOK_START = 0x00401000 HOOK_END = 0x02000000 这样可以扫描小于30M的程序。 如果程序很大(大于30M),可以把HOOK_END设置为更大的值。 二、拷贝文件(COPY) 根据内存扫描结果,从内存中拷贝文件到VH_FILES文件夹。 三、重建APP文件(BUILD) 根据VH_FILES文件夹下拷贝出的文件,重建未加密的APP文件。 /------------------------\ | 第 六 章 HOOK 设 置 | \------------------------/ 可以在Vh.ini中设置: 一、AUTOHOOK 如果设置AUTOHOOK=1,程序自动扫描内存(SCAN)、拷贝文件(COPY)、重建APP文件(BUILD)。 如果设置AUTOHOOK=0,需用户确认“START SCAN?”、“START COPY?”、“START BUILD?”等。 二、SCANFROMDMP 如果设置SCANFROMDMP=1,程序从内存DUMP文件中读取数据。 如果设置SCANFROMDMP=0,程序从内存中读取数据。 三、SCANFROMDMP_FILE 内存DUMP文件,默认为:<项目名称>.DMP或<项目名称>.MEM。 使用WinHex生成内存DUMP文件步骤: 搜索(CTRL+F/F3), 定义选块(Alt+1,Alt+2), 编辑, 复制选块, 置入新文件:<项目名称>.DMP。 使用OllyDbg生成内存DUMP文件步骤: 内存, 查找(CTRL+B/CTRL+L), 备份, 保存数据到文件:<项目名称>.MEM。 四、HOOK_START、HOOK_END 可以设置扫描内存范围,默认设置: HOOK_START = 0x00401000 HOOK_END = 0x02000000 五、HOOK_DELAY 可以设置HOOK TIMER启动时间,默认HOOK INSTALL OK后30秒内启动HOOK TIMER。 六、DUMP 如果设置DUMP=1,程序DUMP内存到VH_DUMP文件夹,以便于做进一步分析。 如果设置DUMP=0,程序不DUMP内存到文件。 七、COPY_NUMBER 可以设置每次从内存中拷贝的文件个数。 如果设置COPY_NUMBER=0,一次从内存中拷贝全部文件。 如果设置COPY_NUMBER=1,每次从内存中拷贝1个文件后退出程序,用于分段拷贝文件。 八、COPY_MODE 可以设置从内存中拷贝文件模式。 如果设置COPY_MODE=0,按默认模式从内存中拷贝文件。 如果设置COPY_MODE=n,按模式n从内存中拷贝文件。 九、COPY_DELAY 可以设置COPY TIMER启动时间,默认SCAN OK后10秒内启动COPY TIMER。 十、QUIT_DELAY 可以设置QUIT TIMER启动时间,默认COPY OK后10秒内启动QUIT TIMER。 十一、PLUGIN 如果设置PLUGIN=1,从内存中拷贝文件后运行插件程序。 如果设置PLUGIN=0,不运行插件程序。 十二、PLUGIN_FILE 插件程序文件。 /-------------------------\ | 第 七 章 其 它 事 项 | \-------------------------/ 本程序仅做技术探讨及交流之用,不得用于商业及非法目的。 如有关于Vfp监听程序的问题或建议,请向ccb2000@163.com发邮件。 |
|
StrongOD.v0.2.9.561.By.海风月影[CUG][2010.01.10]
2003 下 cmdbar 显示不完整! 和od 自带的 cmdbar 有冲突,使用时应删去原来的 cmdbar |
|
[分享]IDA Pro Advanced 5.5 去除局域网检测补丁{更新}
IDA Pro SDK 5.6 官方有下载 Official Hex-Rays utilities IDA Pro SDK 5.6: develop processor modules, loaders and extensions - extended with the source of 30+ modules and 20+ loaders. (updated 29/12/2009) http://www.hex-rays.com/idapro/ida/idasdk56.zip Flair 5.4 add your own compiler libraries to the FLIRT engine. http://www.hex-rays.com/idapro/ida/flair54.zip Tilib 5.6 create your own type libraries. (updated 29/12/2009) http://www.hex-rays.com/idapro/ida/tilib56.zip Linux/Mac TVision 2009b port for the IDA Interface - source code (updated 29/12/2009) http://www.hex-rays.com/idapro/ida/tvision2009b.zip Loadint 5.6 create your own disassembler comment databases(updated 29/12/2009). http://www.hex-rays.com/idapro/ida/loadint56.zip idsutils 5.1 create your own IDS files from DLLs. (updated 19/02/2007) http://www.hex-rays.com/idapro/ida/idsutils51.zip Wingraph v 1.03: source code the Wingraph we use and modified (GPL). (updated 25/08/2004) http://www.hex-rays.com/idapro/freefiles/wingraph32_src.zip |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值