|
[求助]实在是看不出这是个啥壳!(一个简单虚拟机保护)
确实 VM1。22十分强悍 我是搞不懂 (1。5其实也…………) |
|
[求助]VM虚拟机技术设计思路
楼主可能还是没弄懂VM 再仔细学习下。。。 |
|
|
|
|
|
看看这个RODA[讨论]
问题就在PATCH Process32Next上了 7C863EEF > 33C0 xor eax, eax 7C863EF1 C2 0800 retn 8 上面是Patch后的代码 而应该是 7C863D64 > 8BFF mov edi, edi ; TwidoKey.00423A2F 7C863D66 55 push ebp 7C863D67 8BEC mov ebp, esp 7C863D69 83EC 10 sub esp, 10 7C863D6C 53 push ebx 7C863D6D 56 push esi 7C863D6E 57 push edi 7C863D6F 8B7D 0C mov edi, dword ptr [ebp+C] 7C863D72 33F6 xor esi, esi 7C863D74 3BFE cmp edi, esi 7C863D76 8975 FC mov dword ptr [ebp-4], esi 7C863D79 0F84 86000000 je 7C863E05 7C863D7F 813F 2C020000 cmp dword ptr [edi], 22C 7C863D85 75 7E jnz short 7C863E05 7C863D87 6A 04 push 4 7C863D89 56 push esi 7C863D8A 33DB xor ebx, ebx 7C863D8C 43 inc ebx 7C863D8D 53 push ebx 7C863D8E 8D45 F8 lea eax, dword ptr [ebp-8] 7C863D91 50 push eax 7C863D92 8D45 F0 lea eax, dword ptr [ebp-10] 7C863D95 50 push eax 7C863D96 56 push esi 7C863D97 56 push esi 7C863D98 8D45 0C lea eax, dword ptr [ebp+C] 7C863D9B 50 push eax 7C863D9C 6A FF push -1 7C863D9E FF75 08 push dword ptr [ebp+8] 7C863DA1 8975 F0 mov dword ptr [ebp-10], esi 7C863DA4 8975 F4 mov dword ptr [ebp-C], esi 7C863DA7 8975 F8 mov dword ptr [ebp-8], esi 7C863DAA 8975 0C mov dword ptr [ebp+C], esi 7C863DAD FF15 5412807C call dword ptr [<&ntdll.NtMapViewOfSe>; ntdll.ZwMapViewOfSection 7C863DB3 3BC6 cmp eax, esi 7C863DB5 7D 03 jge short 7C863DBA 7C863DB7 50 push eax 7C863DB8 EB 50 jmp short 7C863E0A 7C863DBA 8B45 0C mov eax, dword ptr [ebp+C] 7C863DBD 3970 04 cmp dword ptr [eax+4], esi 7C863DC0 75 21 jnz short 7C863DE3 7C863DC2 8B0F mov ecx, dword ptr [edi] 7C863DC4 83E9 04 sub ecx, 4 7C863DC7 8BD1 mov edx, ecx 7C863DC9 C1E9 02 shr ecx, 2 7C863DCC 83C7 04 add edi, 4 7C863DCF 33C0 xor eax, eax 7C863DD1 F3:AB rep stos dword ptr es:[edi] 7C863DD3 8BCA mov ecx, edx 7C863DD5 83E1 03 and ecx, 3 7C863DD8 6A 12 push 12 7C863DDA F3:AA rep stos byte ptr es:[edi] 7C863DDC E8 CF54FAFF call 7C8092B0 7C863DE1 EB 12 jmp short 7C863DF5 7C863DE3 8B70 14 mov esi, dword ptr [eax+14] 7C863DE6 03F0 add esi, eax 7C863DE8 B9 8B000000 mov ecx, 8B 7C863DED F3:A5 rep movs dword ptr es:[edi], dword p> 7C863DEF 8958 24 mov dword ptr [eax+24], ebx 7C863DF2 895D FC mov dword ptr [ebp-4], ebx 7C863DF5 FF75 0C push dword ptr [ebp+C] 7C863DF8 6A FF push -1 7C863DFA FF15 6012807C call dword ptr [<&ntdll.NtUnmapViewOf>; ntdll.ZwUnmapViewOfSection 7C863E00 8B45 FC mov eax, dword ptr [ebp-4] 7C863E03 EB 0C jmp short 7C863E11 7C863E05 68 040000C0 push C0000004 7C863E0A E8 5C55FAFF call 7C80936B 7C863E0F 33C0 xor eax, eax 7C863E11 5F pop edi 7C863E12 5E pop esi 7C863E13 5B pop ebx 7C863E14 C9 leave 7C863E15 C2 0800 retn 8 上面的是不Patch的结果 要是Patch了 会漏过好多解码 特别是那个[00423627]的值 它是决定走向的 大大小小也脱过不少壳 竟然被这么简单的东西给整了 真不如死了! |
|
看看这个RODA[讨论]
这我知道 我觉得问题不是在SEH |
|
看看这个RODA[讨论]
忽略所有异常 SHIFT+F9运行 没用 程序不会运行 CRTL+F2重来 下断PROCESS32NEXT SHIFT+F9运行 再过一些单步就异常 然后进入了个SEH的循环跳不出来了 搞不懂! |
|
|
|
看看这个RODA[讨论]
还请教兄弟 ANTI在怎么产生的 |
|
看看这个RODA[讨论]
刚才没发上来 |
|
|
|
[求助]一个自效验
你在004dbdb7下断看看 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值