|
|
|
[分享]代码战争
请问楼主截图中的火绒行为沙盒怎么弄?可以显示里面函数调用,还带参数??? |
|
|
|
[求助]追了个学计算机的女生她居然...
我怎么就这么想打小编呢??? |
|
[原创]某游戏辅助源码
感谢分享。 |
|
Upack 2.9 / 3.0 beta ->求个思路。。
很简单的一个壳,慢慢跟,就能发现VB的入口了。 |
|
Upack 2.9 / 3.0 beta ->求个思路。。
手动脱壳就好,脱壳后的。 |
|
[原创+开源]VM高强度虚拟机保护完全开源,最后更新(2015-10-31)
好东西!感谢分享! |
|
如何让电脑无法启动
高压击穿。 |
|
|
|
[原创]VB程序脱壳方法步骤(UPX->www.upx.sourceforge.net*)
没必要纠结于是什么壳,要分析解密过程。 |
|
[求助]Pecompact壳的dll脱壳后如何校验脱壳成功?
还要提醒您一下,上面说到Nop的地方,是通过GetStartupInfo来检测调试器的,后面还有几处检测,不合适会直接调用ZwShutdownSystem重启,调用地方比较多,直接在入口Retn,调试时注意下。 给您发个可用的。 |
|
[求助]Pecompact壳的dll脱壳后如何校验脱壳成功?
注意文件末尾那个附加数据,是文件的CRC校验码,脱壳后别忘了添加,新的CRC校验码可以跟到。 注意这里678AB0BF nop掉。 678AB0B2 8B45 0C mov eax,dword ptr ss:[ebp+C] 678AB0B5 48 dec eax 678AB0B6 75 32 jnz short NtrQQ.678AB0EA 678AB0B8 E8 66FEFFFF call NtrQQ.678AAF23 678AB0BD 84C0 test al,al 678AB0BF 75 10 jnz short NtrQQ.678AB0D1 ; //Nop 678AB0C1 E8 D2FEFFFF call NtrQQ.678AAF98 678AB0C6 3C 01 cmp al,1 678AB0C8 75 07 jnz short NtrQQ.678AB0D1 678AB0CA E8 4FFBFFFF call NtrQQ.678AAC1E 678AB0CF EB 19 jmp short NtrQQ.678AB0EA 678AB0D1 33C0 xor eax,eax 678AB0D3 50 push eax 678AB0D4 50 push eax 678AB0D5 50 push eax 678AB0D6 68 76AF8A67 push NtrQQ.678AAF76 678AB0DB 50 push eax 678AB0DC 50 push eax 678AB0DD FF15 D8F08B67 call dword ptr ds:[678BF0D8] ; kernel32.CreateThread 678AB0E3 50 push eax 678AB0E4 FF15 C4F08B67 call dword ptr ds:[678BF0C4] ; kernel32.CloseHandle 678AB0EA 33C0 xor eax,eax 678AB0C1这个Call就是计算CRC了,根据附加数据CRC校验码进行比较。 678AB035 56 push esi 678AB036 57 push edi 678AB037 53 push ebx 678AB038 68 486C8C67 push NtrQQ.678C6C48 ; ASCII "RtlComputeCrc32" 678AB03D 68 586C8C67 push NtrQQ.678C6C58 ; UNICODE "ntdll.dll" 678AB042 FF15 30F08B67 call dword ptr ds:[678BF030] ; kernel32.GetModuleHandleW 678AB048 50 push eax 678AB049 FF15 94F08B67 call dword ptr ds:[678BF094] ; apphelp.73425D3D 678AB04F FFD0 call eax 678AB051 50 push eax 678AB052 8D45 E8 lea eax,dword ptr ss:[ebp-18] 678AB055 68 706C8C67 push NtrQQ.678C6C70 ; ASCII "%08X" 678AB05A 50 push eax 678AB05B FF15 98F28B67 call dword ptr ds:[678BF298] ; USER32.wsprintfA 678AB061 83C4 0C add esp,0C 678AB064 FF75 D0 push dword ptr ss:[ebp-30] 678AB067 FF15 C4F08B67 call dword ptr ds:[678BF0C4] ; kernel32.CloseHandle 678AB06D 8D45 E8 lea eax,dword ptr ss:[ebp-18] 678AB070 50 push eax 678AB071 8D45 D4 lea eax,dword ptr ss:[ebp-2C] 678AB074 50 push eax 678AB075 FF15 6CF18B67 call dword ptr ds:[678BF16C] ; kernel32.lstrcmpA |
|
[求助]求教一个软件脱壳的问题(可能存在VMPoctect2.46)
上面我有讲,直接在MSVBVM60.ThunRTMain下断即可。 简单跟您说下,这个壳会经过以下过程检测调试器。 IsDebuggerPresent CheckRemoteDebuggerPresent CreateFileA NTICE FindWIndowA OllyDbg FindWindowA FileMonClass 里面垃圾代码比较多,如果不跟,对于这款软件告诉您比较简单的方法。 OD载入后在LoadLibraryA下断,F9第一次会载入MSVBVM60.DLL。 0018FF40 002402ED /CALL 到 LoadLibraryA 来自 002402E7 0018FF44 00695DDC \FileName = "MSVBVM60.DLL" F9再次断在kernel32.dll 0018FF58 00C291D9 /CALL 到 LoadLibraryA 0018FF5C 00C29005 \FileName = "kernel32.dll" 这时在MSVBVM60.ThunRTMain下断,去掉LoadLibraryA断点,F9跑起来断下。 729435A4 MSVBVM60.ThunRTMain 55 push ebp 729435A5 8BEC mov ebp,esp 729435A7 6A FF push -1 729435A9 68 20989572 push MSVBVM60.72959820 729435AE 68 B9BCA272 push MSVBVM60.72A2BCB9 729435B3 64:A1 00000000 mov eax,dword ptr fs:[0] 729435B9 50 push eax 看堆栈, 0018FF40 00C710B6 ELMConfi.00C710B6 0018FF44 00424828 ELMConfi.00424828 0018FF48 00C2BB26 返回到 ELMConfi.00C2BB26 来自 ELMConfi.00C2BEE2 0018FF4C 00C2B324 返回到 ELMConfi.00C2B324 来自 ELMConfi.00C2B6E0 记下ESP+4的值,这里的上层CALL是位于解密用到的区段内,垃圾代码比较多,我并没有将入口放在这个段内。后期是可以精简掉的,现在找个位置构造一个入口就可以了。 像这样。 00696F32 68 28484200 push ELMConfi.00424828 00696F37 FF15 60124000 call dword ptr ds:[401260] ;MSVBVM60.ThunRTMain 将EIP改为00696F32,堆栈ESP = ESP+8,修复一下输入表就可以了。 |
|
[求助]求教一个软件脱壳的问题(可能存在VMPoctect2.46)
拿去汉化吧。这个壳还算简单,只不过垃圾指令比较多,耐心点挺容易的,如果用OD注意隐藏标题,会检测。而且VB的更容易,在ThunRTMain入口断下上层就是OEP了,修复下入口点,输入表即可。 |
|
|
|
[求助][求助]求助,关于脱壳,一个fsG1.33的变形壳
文件大小自校验而已,跳过即可。 00401272 |. 81BD D8FDFFFF>cmp [local.138],0FB45 0040127C 7E 02 jle short FSG_1_33.00401280 0040127E |. CD 13 int 13 00401280 |> 8D4D E4 lea ecx,[local.7] 00401283 |. 895E 64 mov dword ptr ds:[esi+64],ebx 0xFB45 = 62KB,脱后比这个大就int 13了,直接jmp。 |
|
[求助]脱壳后运行出问题,求助
还是给个文件看看吧。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值