|
|
|
|
|
[求助]帮看一下这是什么壳(PEID查不出壳)
关于TMD/WL V2.X 新增防PEID等查壳工具的功能(Hide form PE scanners) Themida公司的最新版的WL V2.0.1.5,从界面上看原来的最后区段名自定义的那个功能换成了新增的防PEID这种查壳工具的功能(Hide form PE scanners)。 所以特别针对这个功能做了测试,更新PEID的数据库。 该功能的三个选项分别为:1,standard;2,Type1;3,Type2。 结论: 用standard选项加出来的,同原来老版的TMD/WL特征一样。 用Tpye1加出来的特征,是先加了一段代码后再RETN到原来老版本的壳EP处,本人已找到。如下供参考: [Themida/WinLicense V1.0.0.0-V1.8.0.0 -> Oreans Technologies * Sign.By.fly] signature = B8 00 00 00 00 60 0B C0 74 58 E8 00 00 00 00 58 05 ?? 00 00 00 80 38 E9 75 ?? 61 EB ?? E8 00 00 00 00 ep_only = true [Themida/WinLicense(EXE) V1.8.2.0 + -> Oreans Technologies * Sign.By.BS] signature = B8 00 00 00 00 60 0B C0 74 68 E8 00 00 00 00 58 05 ?? 00 00 00 80 38 E9 75 ?? 61 EB ?? DB 2D ?? ?? ?? ?? FF FF FF FF FF FF FF FF 3D 40 E8 00 00 00 00 ep_only = true [Themida/WinLicense(DLL) V1.8.2.0 + -> Oreans Technologies * Sign.By.BS] signature = B8 00 00 ?? ?? 60 0B C0 74 68 E8 00 00 00 00 58 05 ?? 00 00 00 80 38 E9 75 ?? 61 EB ?? DB 2D ?? ?? ?? ?? FF FF FF FF FF FF FF FF 3D 40 E8 00 00 00 00 ep_only = true [TMD/WL V2.X (Type1) -> Oreans Technologies * Sign.By.BS] signature = 83 EC 04 50 53 E8 00 00 00 00 58 8B D8 2D ?? ?? ?? ?? 2D 35 CE 60 00 05 2B CE 60 00 83 BB 00 0C 00 00 00 75 1C 89 9B 00 0C 00 00 BB 00 10 00 00 ep_only = true 问题: 没法静态确定用Type2选项加出来的PE特征,因为我每次加的同一个程序出来的程序。 直到返回到原来老版本的TMD/WL的壳EP处的段字节代码字节数大小都不同。没法确定数据库。 想请教一下。。有什么方法可以静态的对这种PE文件特征确认,以用在PEID里的数据库里?这种是不是没办法静态PE查看的? OD里是可以动态调试观察的确认的。 fly 发表于 2008-6-23 16:34 收到你的PM了,因为最近比较忙回复的晚了请见谅 1.某些使用动态引擎的壳或者可以伪装的壳不容易使用ep_only = true的确定特征码 2.特征码需要观察大量的样本,分析再提取,样本应包含各主要加壳选项保护模式的 3.试试ep_only =false方式 4.其他问题我再找机会确认 CCHLord 发表于 2008-6-23 16:52 >> 没法静态确定用Type2选项加出来的PE特征,因为我每次加的同一个程序出来的程序。 >> 直到返回到原来老版本的TMD/WL的壳EP处的段字节代码字节数大小都不同。没法确定数据库。 能否上个图啊 Type2选项 这么神奇啊 PEID 以后就不管用了喔 那该如何是好啊 呵呵 musics 发表于 2008-6-24 01:28 WL V2.0还真是越来越BT了,谢谢提醒 RegKiller 发表于 2008-6-24 01:33 想问下 FLY 什么时候可以把你的 PEID 最新的数据库放出来一份? dryzh 发表于 2008-6-28 19:36 感谢FLY大大,忙里抽空提点我。 to:CCHLord 图到是没有。。COPY下来的代码,DUMP文件或加壳原文件就有。 有兴趣的话我伊妹给你。 星辰 发表于 2008-6-28 20:27 越来越怀疑现在的壳到底是壳还是病毒= = 都快比病毒还BT了@@ zbmzy 发表于 2008-7-17 10:18 WL V2.0还真是越来越BT了 cxyxjp 发表于 2008-7-18 11:21 收藏一份。真的是学到了不少的东西。UNPACK强:P :P |
|
[求助]帮看一下这是什么壳(PEID查不出壳)
不对呀,怎么又有人说是TMD的壳 |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值