|
[原创]OD可用lib库文件!
好东西,多谢分享 |
|
[求助]高手,有知道这段代码的加密算法吗?
按 Base64 可以被解码为16个字节 : CB 7A DA 01 E0 3D 0C FD B6 0C BC 83 6B C4 10 17 |
|
为什么这个断点断不下来?
楼主的问题来自这里? http://www.woodmann.com/forum/showthread.php?14387-How-to-reverse-license-with-VENDOR_STRING 难道纯属巧合? 通过“蹲守”函数"lc_set_attr"入口(0x00523920)没有发现任何使用常数“LM_A_CHECKOUTFILTER”(0x2D) 设置“vendor defined checkout filter”函数入口的调用,基本可以排除楼主的疑问。 另外,发现此程序的签名验证比较特别。以往碰到的程序毫无例外都是用许可文件中的签名直接验证,而此程序是将许可文件中的签名在经过一个非常复杂的变换后才进行验证(变换函数入口:0x0040A2E8)。这样,问题就来了,我们虽然可以直接得到用于验证的正确签名,却无法逆向推导出许可文件中对应的签名应该是什么样子。例如,在本例中,FEATURE SSS 的签名存在以下3种形式: 签名1. 79C1974C84B9 签名2. 1FE766621043 签名3. 3235B72B582B 签名1.通过注册机得到,也是此程序最终用作签名验证的正确样本;如果许可文件记载的是签名1,经过签名变换会得到签名2,最终的验证实际上要在签名1和签名2之间进行,显然是完全不可能匹配的;以签名1为变换目标,利用签名函数,通过暴力攻击,可以猜出(或者说凑出)签名3,许可文件记载的如果是签名3,经过签名变换后,可以得到签名1,验证就可以通过了。 至于签名变换函数的算法,由于实在太长,而本人又实在太懒,不得不甘拜下风,还是留给高手们展示魅力和风采吧。 |
|
为什么这个断点断不下来?
什么是“vendor defined checkout filters”不懂,你好像在说天书。 一般像你这样问,是已经定位了某种著名的保护技术,那么,它是什么呢? 如果你想求助,那就真诚点,把这个保护系统所涉及到的资源全部和盘托出,不要这么藏着掖着的。要知道,没人有义务帮你做这做那的,也没有人对这个问题好奇到非要求着你把它弄清楚的地步。 一切都要靠你主动。 |
|
为什么这个断点断不下来?
显然,我是想告诉你,没有断下是因为程序根本就没有执行到你说的位置,而让你设另外的断点是告诉你,这个程序没有不让设断点的毛病。 |
|
|
|
[求助]
ASpack 2.12 的 dll 脱壳? 看样子,你搞不定,直接用脱壳机吧。 |
|
[分享]小反调试,不知道大家知道不
漏网之鱼,petrel里面也用到,目前的SOD、Olly Advanced插件里面都没有处理到此anti Olly advanced 只是处理了InfoClass = 7 和 0 的情况,对 InfoClass = 1E(30) 未进行任何处理。 [ntdll.ZwQueryInformationProcess] 7C92D7E0 ntdll.ZwQueryInformationProcess 7C92D7E0 > B8 9A000000 mov eax, 9A 7C92D7E5 BA 0003FE7F mov edx, 7FFE0300 7C92D7EA - E9 11286503 jmp 7FF80000 7FF80000 FF12 call dword ptr [edx] ; ntdll.KiFastSystemCall 7FF80002 837C24 08 07 cmp dword ptr [esp+8], 7 ; Check InfoClass 7FF80007 75 11 jnz short 7FF8001A 7FF80009 8B4424 0C mov eax, dword ptr [esp+C] 7FF8000D C700 00000000 mov dword ptr [eax], 0 7FF80013 33C0 xor eax, eax 7FF80015 C2 1400 retn 14 7FF80018 EB 1D jmp short 7FF80037 7FF8001A 837C24 08 00 cmp dword ptr [esp+8], 0 ; Check InfoClass. 7FF8001F 75 13 jnz short 7FF80034 7FF80021 8B4424 0C mov eax, dword ptr [esp+C] 7FF80025 60 pushad 7FF80026 8B78 10 mov edi, dword ptr [eax+10] 7FF80029 8978 14 mov dword ptr [eax+14], edi 7FF8002C 61 popad 7FF8002D 33C0 xor eax, eax 7FF8002F C2 1400 retn 14 7FF80032 EB 03 jmp short 7FF80037 7FF80034 C2 1400 retn 14 这是Olly Advanced v1.27 对 [ntdll.ZwQueryInformationProcess] 的hook处理,如果把 InfoClass = 1E(30) 当成 InfoClass = 7 那样处理,就可以过此 anti 了。 |
|
[讨论]我知道了,为什么自学了C Vb之后什么还不会,因为没学数据结构和window编程
如果调程序有瘾,经常熬通宵,你就有希望。否则,买什么书都白扯,不如省点银子。 |
|
[求助]arm-linux程序如何脱壳
linux系统是不支持程序运行中自修改的,据此推测,程序开始运行的时候,会先把自己脱壳,保存到某个磁盘路径下,然后启动并把控制权转给脱了壳的程序继续执行。 前段时间有个Linux平台下的软件,使用upx 1.25压缩后,又故意破坏了关键标志,导致不能使用"upx -d"命令进行解压。在使用调试器跟踪的时候发现,带壳程序会把自己解压到"/tmp"目录下,实际运行的是这个脱了壳的程序。运行结束的时候,新生成的脱壳文件会被删除。我想,如果这是普遍规律的话,今后Linux平台就不再有实质性的加壳防破解之说了。 |
|
[求助]SafeNet SuperProUltraPro模拟数据转换求助大位大哥来帮帮忙!
什么都不清楚也敢玩狗,小心哪天被咬! |
|
|
|
[翻译]调用约定解释
好帖留名,谢谢楼主 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值