|
[讨论]用汇编来截取后缀名的小程序!(收集更好的思路)
mov esi, sstr ; strlen(sstr) xor eax, eax mov ecx, 0fffffffh repne scansb neg ecx dec ecx ; strrchr(sstr, '.') mov ebx, ecx mov al, '.' add esi, ecx std repne scasb cld neg ecx add ecx, ebx ; memcpy(dst, src, len) mov edi, szDi rep movsb mov byte ptr [edi], 0 |
|
[求助]菜鸟的一个令人郁闷至极的Inline Hook的问题。
简单地拷贝MessageBoxA的头5个字节是会出问题的。 你应该用反汇编函数分析MessageBoxA的入口代码,确保将受影响的指令完整复制到ExecOrig。 |
|
|
|
[分享]一些常见语言所编写的程序的OEP特征
能否将样本文件收集起来,提供下载? |
|
哪位兄弟能发个给EXE文件加壳的VC源程序和源代码
Yoda's protector: http://sourceforge.net/projects/yodap/ |
|
[讨论]如何实现pack应用程序及其所有数据文件到一个exe中
用Molebox打包不就可以了? |
|
[求助]ida插件可以放在右键菜单中吗?
<kerwin.h>里好象没有定义注册右键菜单的API。 |
|
|
|
|
|
[原创]轻松解被MoleBox打包了的程序
Molebox将捆绑文件的列表存在Molebox数据文件或主程序的尾部,用TEA算法加密。如果能够找到密钥的话,就可以解开。 |
|
[求助]对CAD下的ARX文件应如何加壳,我加了壳后都运行不了
ARX是可执行的PE文件吗? |
|
|
|
关于SVKP 1.3x -> Pavol Cerven脱壳
我没有具体脱过这个程序。不过,对于SVKP来说,主要需处理以下两个问题: - IAT表:按教程里说的处理即可。 - Stolen bytes:可以用ESP定律断下来,具体如下 * 记下程序入口时,第一个pusha后的ESP值; * 在IAT处理后,在记下的ESP处下HR断点; * 断下时,应该在堆栈里; * 在OEP下断,然后run trace直到OEP; * 在trace log窗口中,非堆栈段的代码就是变形后的stolen bytes; * 你可以手工分析,恢复stolen bytes;也可以把stolen bytes拷贝到SVKP入口处(去掉不必要的jmp),不过这时OEP就变成SVKP入口了。 |
|
关于SVKP 1.3x -> Pavol Cerven脱壳
0012FCFB E8 00000000 call 0012FD00 0012FD00 5D pop ebp 0012FD01 E8 02000000 call 0012FD08 0012FD06 CD20 83042408 vxdcall 8240483 0012FD0C C3 retn 以上的程序是在堆栈里运行的,所以具体地址可能不同。 你可以在最后一次典型中断(BOUND EAX, ...)发生时,在SEH所在的内存区间里,找特征码:“CMPDWORD PTR DS:[EBX], 251097CC”。 |
|
MD4/MD5 Collision Generation w C:
连不上,能转过来吗? |
|
请问这是什么压缩算法?
好像这个算法在Molebox里也见过,不过不清楚叫什么。 |
|
PESPIN 1.1 加壳程序脱壳后主界面出不来
你有没有将那些CRYPT和CLEAR标记清除掉?另外,PESPIN主程序还有一处反脱壳的监测需要去掉才行。 |
|
|
|
[转贴]PESpin V1.3
有没有人搞到无限制版啊? |
|
Armadillo Code Inject by tenketsu
看不懂?有没有中文或英文版的? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值