|
[原创]手脱ASProtect 2.1壳
1.请仔细看教程,输入表一般是连续的,中间用000000间隔,如果出现教程中的情况就是被加密了. 004BD174 7C82BB6D kernel32.GetTickCount 004BD178 5358C7CE //这个就是加密了. 004BD17C 7C82C07F kernel32.GetVersion 004BD180 44481099 //这个也是加密了 004BD184 7C82B44F kernel32.InterlockedDecrement 2. 00E775F2 3BF0 CMP ESI,EAX //这里下断点. 00E775F4 75 5E JNZ SHORT 00E77654 00E775F6 EB 01 JMP SHORT 00E775F9 就可以跟踪了,这个程序有三个值,有的是四个值. |
|
[原创]手脱ASProtect 2.1壳
1.stolen code 跟IAT加密没有什么关系吧,可以单独加stolen code,也可以单独IAT加密,也可以一起加,好像IAT加密比较容易一些. 2.主要还是靠经验吧,一般的程序头部都有一些明显特征.另外如果按我找OEP的方法在CODE下断找不到OEP很有可能就是stolen code了. |
|
[原创]aspr2.2 SKE 外壳简单分析
一直没搞定OEP stolen 学习学习. |
|
[原创]手脱ASProtect 2.1壳
OEP被偷了吧 |
|
|
|
|
|
[原创]手脱ASProtect 2.1壳
只是为了保存一下edx的值用的,10A0100这个地址任意找个空地方就行. |
|
|
|
一个小花招
将API的代码复制到新申请到的内存空间去执行,再下断点当然无效啦. 00A2CCDE 8BFF mov edi, edi 00A2CCE0 55 push ebp 00A2CCE1 8BEC mov ebp, esp 00A2CCE3 833D 1821E777 0>cmp dword ptr [77E72118], 0 00A2CCEA 74 24 je short 00A2CD10 00A2CCEC 64:A1 18000000 mov eax, fs:[18] 00A2CCF2 6A 00 push 0 00A2CCF4 FF70 24 push dword ptr [eax+24] 00A2CCF7 68 442FE777 push 77E72F44 00A2CCFC FF15 D012E177 call [<&KERNEL32.InterlockedCompareEx>; kernel32.InterlockedCompareExchange 00A2CD02 85C0 test eax, eax 00A2CD04 75 0A jnz short 00A2CD10 00A2CD06 C705 402FE777 0>mov dword ptr [77E72F40], 1 00A2CD10 6A 00 push 0 00A2CD12 FF75 14 push dword ptr [ebp+14] 00A2CD15 FF75 10 push dword ptr [ebp+10] 00A2CD18 FF75 0C push dword ptr [ebp+C] 00A2CD1B FF75 08 push dword ptr [ebp+8] 00A2CD1E E8 4D040000 call 00A2D170 00A2CD23 5D pop ebp 00A2CD24 C2 1000 retn 10 |
|
|
|
|
|
Pe123 v2006.4.4
最初由 softworm 发布 这里是校验吗?崛北 0041415A MOV EAX,EAX |
|
Pe123 v2006.4.4
这里好像是OEP 0046772C 55 PUSH EBP 0046772D 8BEC MOV EBP,ESP 0046772F 83C4 F0 ADD ESP,-10 00467732 B8 406C4600 MOV EAX,PE123.00466C40 00467737 E8 B0EEF9FF CALL PE123.004065EC 0046773C A1 849C4600 MOV EAX,DWORD PTR DS:[469C84] 00467741 8B00 MOV EAX,DWORD PTR DS:[EAX] 00467743 E8 0001FFFF CALL PE123.00457848 00467748 A1 849C4600 MOV EAX,DWORD PTR DS:[469C84] 0046774D 8B00 MOV EAX,DWORD PTR DS:[EAX] 输入表指针加密好像很简单的,调用输入表指针代码变形类似ASPR2 可以追到这里: 002C9FD7 8BF0 MOV ESI,EAX 002C9FD9 81F0 2B110002 XOR EAX,200112B 002C9FDF 50 PUSH EAX 002C9FE0 54 PUSH ESP 002C9FE1 53 PUSH EBX 002C9FE2 FFD2 CALL EDX //这里是调用原输入表指针 002C9FE4 81C4 0C000000 ADD ESP,0C 002C9FEA E8 00000000 CALL 002C9FEF 002C9FEF 5F POP EDI 002C9FF0 81EF 14000000 SUB EDI,14 002C9FF6 33F0 XOR ESI,EAX 002C9FF8 8937 MOV DWORD PTR DS:[EDI],ESI 时间有限,只能分析到这里了. |
|
[原创]THEMIDA去掉延时
精华里面的去 logo方法实际上是破坏了图像的代码, 并没有真正去掉调用LOGO的代码,革命尚未成功,,努力吧,同志们!~~ |
|
[原创]aspr2.2 SKE 外壳简单分析
顶上~~,慢慢学习! |
|
|
|
[原创]THEMIDA去掉延时
最初由 爱一个人好难 发布 最新的winlicense1.4也可以,只要在OD里修改一下005BFB1D处原来的EF为00就可以去掉延时。 |
|
[注意]WinLicense 不是一般的烂。
拿出来啊,给大家玩玩~ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值