|
|
|
|
|
|
|
VProtect 1.3 Compile测试
简单分析VProtect V1.3的单进程转换和反调试 VProtect V1.3的特色是代码混淆和堆栈执行,不容易恢复 简单分析一下双进程变单进程和Anti ――――――――――――――――――――――――――――――――― 一、双进程变单进程 BP CreateProcessA 0012FB18 00410D0C /CALL 到 CreateProcessA 来自 vpx_1.00410D08 0012FB1C 00000000 |ModuleFileName = NULL 0012FB20 0012FB48 |CommandLine = """D:\UnPacK\VCAsm\VProtect V1.3 Compile\vpx_1.exe""" 0012FB24 00000000 |pProcessSecurity = NULL 0012FB28 00000000 |pThreadSecurity = NULL 0012FB2C 00000000 |InheritHandles = FALSE 0012FB30 00000000 |CreationFlags = 0 0012FB34 00000000 |pEnvironment = NULL 0012FB38 00000000 |CurrentDir = NULL 0012FB3C 0012FD58 |pStartupInfo = 0012FD58 0012FB40 0012FD9C \pProcessInfo = 0012FD9C Ctrl+G:00410D08看看 上面跳开就是单进程了 00410B14 FF5424 FC call dword ptr ss:[esp-4] 00410B18 68 00000000 push 0 00410B1D 68 0000C214 push 14C20000 00410B22 68 FFFF0000 push 0FFFF 00410B27 68 C94CA5FD push FDA54CC9 00410B2C 9C pushfd 00410B2D 81B424 04000000 48>xor dword ptr ss:[esp+4],3DF148 00410B38 9D popfd 00410B39 54 push esp 00410B3A FF1424 call dword ptr ss:[esp] 00410B3D 0F85 AE060000 jnz 004111F1 //下硬件断点,重新运行后修改标志位使其跳转 ――――――――――――――――――――――――――――――――― 二、Anti 利用线程来检测 BP CreateThread 0012FB28 00411338 /CALL 到 CreateThread 来自 vpx_1.00411334 0012FB2C 00000000 |pSecurity = NULL 0012FB30 00000000 |StackSize = 0 0012FB34 0041135D |ThreadFunction = vpx_1.0041135D 0012FB38 003D0000 |pThreadParm = 003D0000 0012FB3C 00000000 |CreationFlags = 0 0012FB40 0012FD4C \pThreadId = 0012FD4C 可以这样修改ThreadFunction入口: 0041135D 33C0 xor eax,eax 0041135F C3 retn 也可以修改CreationFlags为4 = CREATE_SUSPENDED 还有一次CreateThread 0012FFA8 00435657 /CALL 到 CreateThread 来自 vpx_1.00435653 0012FFAC 00000000 |pSecurity = NULL 0012FFB0 00000000 |StackSize = 0 0012FFB4 0043565C |ThreadFunction = vpx_1.0043565C 0012FFB8 00000000 |pThreadParm = NULL 0012FFBC 00000000 |CreationFlags = 0 0012FFC0 00435BBD \pThreadId = vpx_1.00435BBD ――――――――――――――――――――――――――――――――― Game |
|
[调查]OllyScript的指令扩展
OllyScript V0.92的原版作者SHaG很久未升级 ODbgScript V1.47的作者是Epsylon3 ODbgScript增加了一些新功能,值得试用 |
|
|
|
|
|
关于用ESP定律脱壳
BP Break with condition 使用条件中断 BPX Break on all calls 中断在全部调用 BPD Delete break on all calls 清除位于全部调用的断点 BC Delete breakpoint 清除断点 MR Memory breakpt on access 内存断点于访问时 MW Memory breakpt on write 内存断点于写入时 MD Remove memory breakpoint 清除内存断点 HR HW break on access 硬件中断在访问 HW HW break on write 硬件中断在写入 HE HW break on execution 硬件中断在执行 HD Remove HW breakpoint 清除硬件断点 DUMP Dump at address 在地址转存 DA Dump as disassembly 转存为反汇编代码 DB Dump in hex byte format 转存在十六进制字节格式 DC Dump in ASCII format 转存在 ASCII 格式 DD Dump in stack format 转存在堆栈格式 DU Dump in UNICODE format 转存在 UNICODE 格式 DW Dump in hex word format 转存在十六进制字词格式 |
|
|
|
脱Exepack加的壳遇到啦困难,感觉仅一步之遥,请各位大哥教教我,网上关于此的文章好象也还没有
1、你可以在第二区段设置内存访问断点,然后shift+F9 2、在CC处 菜单->查看->SEH链 会看到SE句柄 |
|
[分享]Armadillo.Professional.Edition.v4.42
DVT的这个有点bug |
|
|
|
UPX ShellEx 增强启动器
最初由 dREAMtHEATER 发布 或许你可以在其他程序你更好的实现你的创新 虽然我会推荐你的UPX ShellEx,但只要你采取这种方式,有很多人是不会安装的 脱upx这东西不是每天必须的,没必要如此 至于微软,连windows都是人家的,还能如何 |
|
|
|
Thinstall v2.717 by Jitit
可以提供一个下载压缩包(放临时空间)? |
|
|
|
|
|
EXECryptor2.3.9主程序脱壳[分享]
OllyDBD 原版? |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值