|
[原创]关于一个系统的License验证爆破
楼主这篇文章的意义在于如何找到软件验证的那一个关键文件。 得到了一个经验: 不少软件都把软件验证模块的功能放在一起,为了比较好的可维护性,一般是DLL文件。 有个疑问,这个软件只验证一次吗,难道没有自校验? 如果是无壳软件,我会这样做,先License验证,然后自校验同目录下的所有文件,然后再次License验证,OVER。 |
|
[原创]对一个IAT加密壳的分析
16楼说很清楚了。 |
|
[原创]自学破解一个星期,自觉入门了的一点体会
楼主,你破解的软件,它的验证方法太原始了,几乎没有现实意义。去CrackMe板块看看吧,档次稍微高点的会在堆栈里验证(出现明文)。 |
|
[求助]菜鸟提问!关于OD调试时到retn时,却无法调试了?
楼主给的信息太少,发求助帖没必要这么不舍得打字吧。问题太宽泛了,不提供目标文件的基本信息,不提供OD设置信息,不给一点出错代码,不提供堆栈信息。没法分析啊,弄得每个想帮楼主解释的人把每一种情况都解释下,也没那个精力啊? 求助帖请详细说明必要信息,如果是被加壳的PE文件,出现什么样的情况都很正常。楼主的问题我遇到过,我运行到那才发现我的跟踪早被发现了,壳忽悠我好长一段时间了才让自己出错。 |
|
[分享]希望能容入这个大家庭成为你们中的一员
BS你,你需要被净化。 |
|
[分享]希望能容入这个大家庭成为你们中的一员
楼主,我已加入部落............为了部落! |
|
[原创]对一个IAT加密壳的分析
看了一些回复,感觉不少人有点夸张,还不到膜拜的程度吧。虽然我很菜,但是我也知道类似的更精彩的脱壳文。 http://bbs.pediy.com//showthread.php?t=87760 这个壳好像是04年的。建议看到IAT加密处理那一部分时直接跳到OEP分析那里运行OEP查看加壳后文件如何调用API函数,然后回头看IAT加密部分。别看长,耐心点能有不少体会。 更难的,分析的更全面的还有 http://bbs.pediy.com/showthread.php?t=80422 能分析完这个,楼主功力真是相当深厚,实在是好文。 |
|
[求助]为什么把push改成pop
学习了,我也倾向LZ问的问题属于这种。最近在找如何狙击ESP定律的办法,精华7有篇文章提及了一点:回复里说,很多时候软件不会通过堆栈结束。 |
|
[求助]为什么把push改成pop
有大虾来解释下这种情况吗,给点提示也好。 |
|
[求助]如何使资金增加?那个有什么用处啊?
问下,新手好像做一些题目,每题可以获得30Kx奖励,题目在哪,没找到啊. |
|
[建议]加密与解密第三版 280页小问题
楼主能解释的更详细点吗,我怎么感觉书上这里说的没什么错误啊。 特别是 *(BYTE *)pData = (BYTE)(strlen((char *)pImportName->Name) );//函数名字符长度 这行代码我跟踪过的,运行一直正确啊。 |
|
[求助]如果MD5算法中,原始信息长度为448bit,还需要填充100...么?
猜测下:可能是因为如果你什么都不加,算法不能保证自己的“不可逆性”。如果什么都不加,可能反推出原始数据的长度吧。 |
|
|
|
[求助]过一个inline hook老是蓝屏帮我看看谢谢.
那楼主悲剧了,我跟踪几个壳,都检测自身代码的,用自身的一段代码校验值解码,如果不正确就完了。估计你就是被检测到CC断点所以蓝屏了。 如果不想用硬件断点,那你也可以把CC断点下在805c13cb+4h以后的地方。(因为你要HOOK,所以不能下在RETN处)。大家检测CC断点,一般只检测函数地址首字节,现在不少壳学乖了,检测函数首地址前4个字节。(貌似前4个字节不可能出现CC这个机器码) 引用:“其实我现在还没加载np,应该不会有反调试的问题”。看不懂,没明白你意思?难道说你加载EXE文件的时候直接蓝屏? |
|
[求助]过一个inline hook老是蓝屏帮我看看谢谢.
引用: “而且805c13cb这里我也下了一个断点,硬是没断到马上蓝屏,有点搞不懂” 你下的是硬件断点吗? 函数调用错误应该不会蓝屏,这应该是个反调试措施。遇见蓝屏,想反复验证是什么问题,不要下CC断点。要用硬件断点。遇上检测硬件断点的,用带反检测硬件断点的插件。要是碰上在R0下检测硬件断点的,估计要自己修改它的代码来跳过检测。 |
|
[求助]我是新手,没有什么基础,希望大家能够推荐一些适合没有基础的新手学习的书籍
真想学点东西,还是先打点基础,以免以后别人帮都帮不了你。建议如下: 先买王爽的《汇编语言》,基本看懂后(不要求全懂); 然后买《加密与解密》(第三版),从头开始看起,不懂的地方做个记号,有的章节可以直接跳过。多实践,感觉差不多了可以尝试下破解或脱壳CrackMe版块的一些CrackMe。 |
|
[求助]过一个inline hook老是蓝屏帮我看看谢谢.
HIOOK这方面的基本不懂,我说以下我的疑惑哈: 805c13ed 8d8548ffffff lea eax,[ebp-0B8h]<<-这里是我准备hook的地方 805c13f3 50 push eax<<-这里是我准备跳回的地方 805c13f4 e873590200 call nt!SeDeleteAccessState (805e6d6c) 你HOOK后,我看用了不少寄存器,难道你不 pushfd pushad ...... popad popfd 这样HOOK吗? 因为后面还调用一个函数啊,你随便修改寄存器的值,容易出问题吧。 |
|
[求助]过一个inline hook老是蓝屏帮我看看谢谢.
问一下tufuzi,你在写加壳软件吗? |
|
[求助]可能问题有点菜
7楼说的正确,我本想写下这个可能。tufuzi说的可能有点不太好懂。 给汇编不熟的新手简单说明下,tufuzi的代码可以写成: push offset label1 ;相当于mov [esp + 4], offset label1 ....... ;这里要保证堆栈平衡,也可以没有任何代码。 ret label1: ........ 上面的代码意思就是跳到label1处执行。这个例子告诉我们看到 ret不一定前面有call |
|
[求助]可能问题有点菜
引用“但是我一向上看 就变成 0064D72F 236B 68 and ebp,dword ptr ds:[ebx+68] 0064D732 58 pop eax ” 这种原因一个可能就是 0064D730以及前几个机器码是花指令。(我自己的代码加入了一些花指令就会出现这样的情况。) 当你运行到 0064D731 68 5877F4CB push CBF47758 的时候,这个代码是真的。而且应该是变成OD中反汇编代码窗口的第一行代码。 你要往上看,那么就变成楼主说的那样了,闪一下 0064D731的代码就变花了。 因为是花指令,所以0064D730(包括以上N个指令)处的代码不会运行的。你非要看,反而被误导。 虽然我也是个菜鸟加新手,但是看着不少新手被花指令迷惑说明 基本的汇编语言需要加强学习,尤其应该看一看没加壳的正常软件反汇编后的代码是什么样的。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值