|
[求助]求 safengine(or shielden) 2.x IAT 修复脚本
补充说一下,这个壳的反调试比较到位,每个版本都有变化,OLLYICE经常 过不去,让人要崩溃。 |
|
[求助]求 safengine(or shielden) 2.x IAT 修复脚本
safengine 版本不同,则在进行IAT修复的脚本是不一样的,我是根据它的IAT的跳转到壳的过程中,发现进入虚拟机前的跳转地址后的二制数为API调用的字符串进行识别他的API调用的系统库和API函数字符串 ,然后根据这两个字符串,对该对地址进行修复。 程序调用API时 会有一个跳转,如:jmp dword ptr [402008] 二进制特征码为FF25 壳将其程序所有的跳转 全部使用CALL命令进行替换,Delphi 编译的语言 在调用API时 会有一个跳转时,在每一个跳转后有8BC0特征码,用 脚本命令find $RESULT ,#E8??????00??8bc0# 来进行查询 ,从而修复API的调用时的跳转。 因为壳对程序的所有的jmp和call命令 进行变形,所以 要用脚本来测试跳转到壳代码后,回程序代码时的堆栈平衡,来判断是原程序的代码为JMP命令 ,还是CALL命令。从而对所有的 jmp call 和api 跳转和IAT进行修复,因为这样的脚本的运行工作量比较大,而且还容易非法而退出脚本程序 ,所以在用脚本找出所有的需要修复的地址后,变成标准格式的文本,用C++做一个判断程序 ,用程序对原加壳的程序进行直接写入,这样速度更加快一点,我解过两个版本的Safengine Protector v2.0.7.0 Safengine Protector v2.0.8.0 好像是这样的吧我忘了,API、jmp和 Call的 修复我脚本检查API 、jmp 和CALL 要用3小时的时间 ,一个程序的IAT的修复和 跳转的修复,需要一天的时间 ,修复完成后,对修复的程序 进行BUG测试 需要半天。总的来说, 这个壳有点要命 ,所有的 API调用、jmp 和CALL都到壳里去了,而且API的调用壳里加了虚拟机代码。 |
|
[注意]发现山寨版《加密与解密》[己证实大部分内容抄袭看雪论坛上的]
唉,无语了,应当打假 |
|
[讨论]SOFTICE过时了?
windbg 还是有前途,softice 好像停止开发了 |
|
[求助]破解中我们看到的汇编为什么那么奇怪?
用VB的反汇编,不就行了吗 |
|
[推荐]Windows 内核情景分析--采用开源代码ReactOS
今天刚收到书,看了第2章,和第3章,确实不一样,值得一看,顶,我相信这两本书看完,计算机水平会上一个新的台阶 |
|
[讨论]请问这三句指令在病毒中有什么作用?笔试题
典型的代码重定位,骆老大的书中,专门价绍过这个问题 |
|
[求助]我的路该往哪里走
楼主比较厉害,我记得当时在学校,学习Borland C++这本书,加上作笔记(书是别人的)共用了我大半年的时间。唉,不得不佩服。 |
|
[专题五]Delphi驱动开发研究(工具更新至0.03版)
首先佩服楼主的创新精神,也是我尊敬的大牛,不过我还是怀疑用delphi做驱动的必要性,既然用 KmdKit4D,为什么不直接用汇编,非要用delphi 呢,再说每次系统的升级,驱动开发包都要发生变化,既然都是以C语言作为基础语言开发,用delphi做驱动还是比较麻烦。 |
|
[求助]小问题,希望大家解答
说明这个程序有反调试功能, |
|
[求助]破解是否需要学习WIN32汇编啊?
还是学习汇编吧,你不学习不知道,一学吓一跳,在分析程序和内核时汇编很重要 |
|
[求助]看了好几篇文章,怎么都说得好乱,帮忙!!
你把rootkits windows内核的安全防护这本书看完,就懂了 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值