|
HeapMagic
shoooo的anti很好玩, 第一个是heapmagic(我只知道一种方法过,强制跳转) 第三个是调用API,ZwQueryInformationProcess,两种方法过 1.强制跳,2.hook sdt 00401470 /. 55 push ebp 00401471 |. 8BEC mov ebp, esp 00401473 |. 83EC 10 sub esp, 10 00401476 |. 68 40304000 push 00403040 ; /ProcNameOrOrdinal = "ZwQueryInformationProcess" 0040147B |. 68 34304000 push 00403034 ; |/pModule = "ntdll.dll" 00401480 |. FF15 04204000 call dword ptr [<&KERNEL32.GetModu>; |\GetModuleHandleA 00401486 |. 50 push eax ; |hModule 00401487 |. FF15 00204000 call dword ptr [<&KERNEL32.GetProc>; \GetProcAddress 0040148D |. 8945 F4 mov dword ptr [ebp-C], eax 00401490 |. B8 01000000 mov eax, 1 00401495 |. 8945 FC mov dword ptr [ebp-4], eax 00401498 |. 8945 F8 mov dword ptr [ebp-8], eax 0040149B |. 8D85 F8FFFFFF lea eax, dword ptr [ebp-8] 004014A1 |. 50 push eax 004014A2 |. 6A 04 push 4 004014A4 |. 8D85 FCFFFFFF lea eax, dword ptr [ebp-4] 004014AA |. 50 push eax 004014AB |. 6A 07 push 7 004014AD |. 6A FF push -1 004014AF |. FF55 F4 call dword ptr [ebp-C] 004014B2 |. 8945 F0 mov dword ptr [ebp-10], eax 004014B5 |. 8B45 FC mov eax, dword ptr [ebp-4] 004014B8 |. 85C0 test eax, eax 004014BA |. 75 18 jnz short 004014D4 004014BC |. 837D F8 04 cmp dword ptr [ebp-8], 4 004014C0 |. 75 12 jnz short 004014D4 004014C2 |. 6A 00 push 0 004014C4 |. 6A 00 push 0 004014C6 |. 68 20304000 push 00403020 ; ASCII "ok" 004014CB |. E8 14020000 call <jmp.&MFC42.#1200> 004014D0 |. 8BE5 mov esp, ebp 004014D2 |. 5D pop ebp 004014D3 |. C3 retn 004014D4 |> 6A 00 push 0 004014D6 |. 6A 00 push 0 004014D8 |. 68 24304000 push 00403024 ; ASCII "Debugger Found" 004014DD |. E8 02020000 call <jmp.&MFC42.#1200> 004014E2 |. 8BE5 mov esp, ebp 004014E4 |. 5D pop ebp 004014E5 \. C3 retn 第二个看不懂, |
|
|
|
[灌水]CoolDumpper 0.8 public Final
最初由 haishi 发布 侦壳功能是直接拷贝的论坛里任平生的代码,他的识别数据库是这样子 {"","60E8F9110000C383","tElock 0.80 -> tE!",1}, {"","60E848110000C383","tElock 0.71b7 -> tE!",1}, {"","60E844110000C383","tElock 0.71b2 -> tE!",1}, 不太习惯这种方式,加新的壳信息比较麻烦,所以我没去加 |
|
HeapMagic
我只会补区段, |
|
|
|
|
|
|
|
[SHE]贴两个今年写的工具
3.exeVM化了,我讨厌VM~~~~~~ |
|
[SHE]贴两个今年写的工具
我比较关心没有出现的1.exe是什么东西, |
|
[灌水]CoolDumpper 0.8 public Final
压缩壳的输入表都没加密,不用修复的 |
|
|
|
|
|
ASProtect 2.1x SKE 去效验代码不同?不信你进来看看
我发誓LS说的是真话, |
|
|
|
[游戏]一个奇怪的带壳crackme
不是Telock,有简单的Tls反调试和进程逃逸 楼主,你先设置OD停在系统断点,然后在409040处下断,运行 00409040 803D 08954000 C>cmp byte ptr [<ModuleEntryPoint>], 0CC 00409047 75 0A jnz short 00409053 00409049 C705 09954000 0>mov dword ptr [409509], 5000 00409053 C2 0C00 retn 0C 409047那个跳转让它跳 然后再断在OEP处 然后走几步来到这里 0040919F 50 push eax 004091A0 68 52944000 push 00409452 ; ASCII "Teeth_In_The_Grass" 004091A5 FF15 C6304000 call dword ptr [<&KERNEL32.lstrcmp>] ; kernel32.lstrcmpA 004091AB 83F8 00 cmp eax, 0 004091AE 75 05 jnz short 004091B5 004091B0 - E9 F7FAFFFF jmp 00408CAC 4091AE处的跳转让它别跳,下面的你就自己看着办吧 |
|
[灌水]CoolDumpper 0.8 public Final
这个东东"参考"(说抄袭更准确些)了很多人的代码,不好意思说是我做的, 现在放上一个测试版本,目前只能脱部分aspack和UPX的壳 因为我水平太菜,所以不要对它抱太大期望, 下载见我下面的帖子 |
|
|
|
[求助]如和脱themida1.0.05,指点一下
在PEID中选插件-PEID Generic Unpacker,:) |
|
[讨论]Armadillo壳应该怎么脱怎么修复
最初由 浮财 发布 我是说HIDEOD插件,看雪老大出品.... |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值