[求助]帮忙看看是什么壳
http://bbs.pediy.com/temp/wl/Themida_1.8.5.5.rar
http://bbs.pediy.com/temp/wl/ThemidaFiles.rar

[求助]脱某个壳修复遇难.
fb0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0i4K6u0r3N6r3!0G2L8s2y4Q4x3V1k6#2L8Y4m8S2j5$3E0Q4x3V1k6m8f1#2m8J5L8%4c8W2j5%4c8Q4x3V1k6K6N6s2u0A6M7s2m8W2M7W2)9J5c8Y4y4@1M7X3W2H3M7r3g2J5i4K6g2X3N6U0t1H3y4$3S2@1i4K6u0W2M7X3q4J5

[原创]普通壳的脱壳方法和脱壳技巧，叫新手少走弯路！
有什么好扯皮的？
这里一遍:http://bbs.pediy.com/showthread.php?s=&threadid=25683
然后又一遍:http://bbs.pediy.com/showthread.php?s=&threadid=30292
其实什么黑鹰,黑吧,桂圆,芒果的,全是从看雪抄的:
http://bbs.pediy.com/showthread.php?s=&threadid=12757
至于那几个成为骨干的压缩壳只需要看nspack（北斗）1.3这几个字,就知道是那年的货,还有什么可扯的.

<看雪论坛精华>杀毒软件报有病毒
看雪论坛精华吗，顾名思义当然要到看雪论坛来下载。任何程序都有可能被人植入木马，所以别处下载的文件被做了手脚不是论坛可以控制的，当然也与论坛无关。

<看雪论坛精华>杀毒软件报有病毒
到这里:
http://bbs.pediy.com/showthread.php?s=&threadid=38891
看注意事项5

请问这是什么软件的壳??[求助]

最初由 shoooo 发布
ChinaProtect只是从壳中搜索到的字符串
你为啥总喜欢同一个表情连发三个?

3帅啊。其实是个习惯问题，就像谁谁喜欢申请许多的号，然后在同一贴里交替现身。不过我现在的这个号有挂掉的趋势，估计又要换一个了。

请问这是什么软件的壳??[求助]
ChinaProtect？这么大的牌子应该拿出来走商业化啊,安心地下壳永远只能是外挂保护者,一旦历经磨难从内部流传出来,就会沦为木马保护者。

请问这是什么软件的壳??[求助]
极品TLS，第一次见到有这么干的，谁写的啊。

被公务员考试关机了

最初由 KuNgBiM 发布
既然你已经找到了关键点,何不自己动手呢?

004CAB20 53 push ebx
//直接让它返回试试

mov ebx, 1
retn
........

要蒙也应该是MOV EAX,1吧,不过这个是关机调用,到这里已经完蛋了,所以返不返回无所谓.看它到临时目录,释放一个没名字的EXE文件,打开后是新版本的友益,还让注册.这个东西校验多多,所以带壳直接找注册码是最好的办法.本来想去散了它的注册机,报复一下,可后来看到了这样的话:
    在中国，本科生培养成本约为一个贫困县农民35年收入，这还是在假定农民自身不吃、不喝、不穿、不病、不死的情况下！
    教育改革以来，中国贫困大学生人数和比例皆呈迅速增长趋势。目前高校贫困生总数已高达320万人，其中生活无保障的特困大学生100多万；另据调查，有25.5%的家庭因负担不了上大学的费用而不愿再升入大学；在中国大地，每年因无法支付高额学费而辍学、流浪、陷入贫困、卖身、犯罪的不计其数！
    中国政府对教育的投入连世界最穷的国家乌干达都不如，此情此景，触目惊心，令人发指！
无泪天使女士出身寒门，深知穷人的疾苦与弱势群体的悲哀，既然国家无暇顾及，作为弱势群体的每一分子，就当相互搀扶！同一片蓝天下，我们不能对弱势群体予以漠视！因为，人之初，性本善，不能忘记，仁者无敌，不能丢掉，助人为乐！
    希望大家和我们一起去关注身边的人，去帮助身边的人。我们拥有智慧，我们有一颗火红的跳动的心，我们不能在冷漠中冷漠，在沉沦中沉沦，在自高自大中自高自大。我们要伸出我们的手，我们要拿出我们的实际行动，给世上无数需要关爱的人送去自己的爱心。我们的个人很单薄，我们的肩头很稚嫩，但我们13亿人团结在一起就能拥有颠覆天地的力量！
    我们的同胞需要我们，我们的家园需要我们，我们的良心需要我们。我们省下一顿饭就能救助多少饥饿中的孩子，我们捐出一块钱就能给无数衣不蔽体的流浪者送去温暖，我们少浪费纳税人一分钱就能解决多少教育乱收费和失龄儿童问题！
    现为回报社会，除加盟合作中的第五条外，有下列情况之一者，也将免费获得本软件注册密码，并享受无泪天使老师的在线亲自专业辅导：
　　1、在校特困大学生（凭学校出具的特困证明、个人身份证复印件、报考公务员凭证）。
　　2、父母双亡学生（凭烈士证、居委会证明、报考公务员凭证）。
　　3、其它特困人群、弱势群体子女。
附：为了扩大受惠人群，降低减免门槛，无泪天使再降门槛，上述人群暂时没有取得报考公务员凭证的，我们也将全免费赠送无泪天使所有产品的注册密码！绝无虚言，望各位贫困生相互转告！
    虽然不知道真的假的,但原则上的态度算是表明了,现在能为我们这些穷学生着想的还真是比较少见,作者算是个好人,就不坏他的事了。

[求助]EPE壳,有没有方法使两台电脑的机器码相同?

最初由 amwmqj 发布
如题, 已经亲眼见过有人实现, 但不知道用的什么方法.

请各位大侠赐教.

共享软件不脱壳,不修改程序,直接用相同的注册码注册成功,通过验证.

买两台一模一样的机器就可以了吧,不过听说大多数EPE的程序什么都不需要就可注册，已经亲眼见过有人实现，但不知道用的什么方法.

被公务员考试关机了
那有破解的啊,反正我没找到.
004CAB20    53              push    ebx
004CAB21    56              push    esi
004CAB22    8BF0            mov     esi, eax
004CAB24    33DB            xor     ebx, ebx
004CAB26    8BC6            mov     eax, esi
004CAB28    E8 27010000     call    004CAC54
004CAB2D    3C 02           cmp     al, 2
004CAB2F    75 34           jnz     short 004CAB65
004CAB31    B1 01           mov     cl, 1
004CAB33    BA 84AB4C00     mov     edx, 004CAB84                    ; ASCII "SeShutdownPrivilege"
004CAB38    8BC6            mov     eax, esi
004CAB3A    E8 59000000     call    004CAB98
004CAB3F    6A 00           push    0
004CAB41    6A 08           push    8
004CAB43    E8 78D0F3FF     call    00407BC0                         ; jmp 到 user32.ExitWindowsEx
004CAB48    85C0            test    eax, eax
004CAB4A    74 05           je      short 004CAB51
004CAB4C    BB 01000000     mov     ebx, 1
004CAB51    85DB            test    ebx, ebx
004CAB53    75 22           jnz     short 004CAB77
004CAB55    33C9            xor     ecx, ecx
004CAB57    BA 84AB4C00     mov     edx, 004CAB84                    ; ASCII "SeShutdownPrivilege"
004CAB5C    8BC6            mov     eax, esi
004CAB5E    E8 35000000     call    004CAB98
004CAB63    EB 12           jmp     short 004CAB77
004CAB65    6A 00           push    0
004CAB67    6A 01           push    1
004CAB69    E8 52D0F3FF     call    00407BC0                         ; jmp 到 user32.ExitWindowsEx
004CAB6E    85C0            test    eax, eax
004CAB70    74 05           je      short 004CAB77
004CAB72    BB 01000000     mov     ebx, 1
004CAB77    8BC3            mov     eax, ebx
004CAB79    5E              pop     esi
004CAB7A    5B              pop     ebx
004CAB7B    C3              retn

奇怪UPX 壳，求调试方法
00395425    40              inc     eax
00395426    8945 E0         mov     dword ptr [ebp-20], eax
00395429    8D85 E0FFFEFF   lea     eax, dword ptr [ebp+FFFEFFE0]
0039542F    8945 DC         mov     dword ptr [ebp-24], eax
00395432    8B45 DC         mov     eax, dword ptr [ebp-24]
00395435    8B00            mov     eax, dword ptr [eax]
00395437    50              push    eax
00395438    6A 00           push    0
0039543A    68 10040000     push    410
0039543F    E8 C406FFFF     call    00385B08                         ; jmp to kernel32.OpenProcess
00395444    8945 F0         mov     dword ptr [ebp-10], eax
00395447    837D F0 00      cmp     dword ptr [ebp-10], 0
0039544B    0F86 BF000000   jbe     00395510
00395451    33C0            xor     eax, eax
00395453    55              push    ebp
00395454    68 09553900     push    00395509
00395459    64:FF30         push    dword ptr fs:[eax]
0039545C    64:8920         mov     dword ptr fs:[eax], esp
0039545F    8D95 D4FFFEFF   lea     edx, dword ptr [ebp+FFFEFFD4]
00395465    8B45 F0         mov     eax, dword ptr [ebp-10]
00395468    E8 57FEFFFF     call    003952C4
0039546D    8B85 D4FFFEFF   mov     eax, dword ptr [ebp+FFFEFFD4]
00395473    8B55 E8         mov     edx, dword ptr [ebp-18]
00395476    E8 F51FFFFF     call    00387470
0039547B    84C0            test    al, al
0039547D    74 73           je      short 003954F2
0039547F    8B45 DC         mov     eax, dword ptr [ebp-24]
00395482    8B00            mov     eax, dword ptr [eax]
00395484    8945 FC         mov     dword ptr [ebp-4], eax
00395487    8B45 FC         mov     eax, dword ptr [ebp-4]
0039548A    E8 C9FDFFFF     call    00395258
0039548F    50              push    eax
00395490    6A 00           push    0
00395492    68 10040000     push    410
00395497    E8 6C06FFFF     call    00385B08                         ; jmp to kernel32.OpenProcess
0039549C    8945 F4         mov     dword ptr [ebp-C], eax
0039549F    837D F4 00      cmp     dword ptr [ebp-C], 0
003954A3    76 4D           jbe     short 003954F2
003954A5    33C0            xor     eax, eax
003954A7    55              push    ebp
003954A8    68 EB543900     push    003954EB
003954AD    64:FF30         push    dword ptr fs:[eax]
003954B0    64:8920         mov     dword ptr fs:[eax], esp
003954B3    8D95 D0FFFEFF   lea     edx, dword ptr [ebp+FFFEFFD0]
003954B9    8B45 F4         mov     eax, dword ptr [ebp-C]
003954BC    E8 03FEFFFF     call    003952C4
003954C1    8B85 D0FFFEFF   mov     eax, dword ptr [ebp+FFFEFFD0]
003954C7    BA A4553900     mov     edx, 003955A4                    ; ASCII "EXPLORER.EXE"
003954CC    E8 9F1FFFFF     call    00387470
003954D1    8845 E7         mov     byte ptr [ebp-19], al
003954D4    33C0            xor     eax, eax
003954D6    5A              pop     edx
003954D7    59              pop     ecx
003954D8    59              pop     ecx
003954D9    64:8910         mov     dword ptr fs:[eax], edx
003954DC    68 F2543900     push    003954F2
003954E1    8B45 F4         mov     eax, dword ptr [ebp-C]
003954E4    50              push    eax
003954E5    E8 1605FFFF     call    00385A00                         ; jmp to kernel32.CloseHandle
003954EA    C3              retn
003954EB  ^ E9 60E0FEFF     jmp     00383550
003954F0  ^ EB EF           jmp     short 003954E1
003954F2    33C0            xor     eax, eax
003954F4    5A              pop     edx
003954F5    59              pop     ecx
003954F6    59              pop     ecx
003954F7    64:8910         mov     dword ptr fs:[eax], edx
003954FA    68 10553900     push    00395510
003954FF    8B45 F0         mov     eax, dword ptr [ebp-10]
00395502    50              push    eax
00395503    E8 F804FFFF     call    00385A00                         ; jmp to kernel32.CloseHandle
00395508    C3              retn
00395509  ^ E9 42E0FEFF     jmp     00383550
0039550E  ^ EB EF           jmp     short 003954FF
00395510    807D E7 00      cmp     byte ptr [ebp-19], 0
00395514    74 0D           je      short 00395523
00395516    8345 DC 04      add     dword ptr [ebp-24], 4
0039551A    FF4D E0         dec     dword ptr [ebp-20]
0039551D  ^ 0F85 0FFFFFFF   jnz     00395432
00395523    8B45 08         mov     eax, dword ptr [ebp+8]
00395526    8078 FB 01      cmp     byte ptr [eax-5], 1
0039552A    75 18           jnz     short 00395544
0039552C    6A 00           push    0
0039552E    8B45 FC         mov     eax, dword ptr [ebp-4]
00395531    50              push    eax
00395532    6A FF           push    -1
00395534    68 FF0F1F00     push    1F0FFF
00395539    E8 CA05FFFF     call    00385B08                         ; jmp to kernel32.OpenProcess
0039553E    50              push    eax
0039553F    E8 F405FFFF     call    00385B38                         ; jmp to kernel32.TerminateProcess
00395544    807D E7 00      cmp     byte ptr [ebp-19], 0
00395548    75 1D           jnz     short 00395567
0039554A    6A 00           push    0
0039554C    8B45 FC         mov     eax, dword ptr [ebp-4]
0039554F    E8 04FDFFFF     call    00395258
00395554    50              push    eax
00395555    6A FF           push    -1
00395557    68 FF0F1F00     push    1F0FFF
0039555C    E8 A705FFFF     call    00385B08                         ; jmp to kernel32.OpenProcess
00395561    50              push    eax
00395562    E8 D105FFFF     call    00385B38                         ; jmp to kernel32.TerminateProcess
00395567    33C0            xor     eax, eax
00395569    5A              pop     edx
0039556A    59              pop     ecx
0039556B    59              pop     ecx
0039556C    64:8910         mov     dword ptr fs:[eax], edx
0039556F    68 94553900     push    00395594
00395574    8D85 D0FFFEFF   lea     eax, dword ptr [ebp+FFFEFFD0]
0039557A    BA 04000000     mov     edx, 4
0039557F    E8 50E6FEFF     call    00383BD4
00395584    8D45 E8         lea     eax, dword ptr [ebp-18]
00395587    E8 24E6FEFF     call    00383BB0
0039558C    C3              retn

[游戏]一个奇怪的带壳crackme
1:
AntiVir 7.3.0.21 12.21.2006 DR/PcClient.Gen
Authentium 4.93.8 12.22.2006  no virus found
Avast 4.7.892.0 12.21.2006 Win32:Pcclient-CY
AVG 386 12.21.2006  no virus found
BitDefender 7.2 12.22.2006 Dropped:Backdoor.Pcclient.SYS
CAT-QuickHeal 8.00 12.21.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.21.2006  no virus found
DrWeb 4.33 12.21.2006 Trojan.DownLoader.3856
eSafe 7.0.14.0 12.21.2006  no virus found
eTrust-InoculateIT 23.73.95 12.22.2006  no virus found
eTrust-Vet 30.3.3268 12.21.2006  no virus found
Ewido 4.0 12.21.2006  no virus found
Fortinet 2.82.0.0 12.21.2006  no virus found
F-Prot 3.16f 12.21.2006  no virus found
F-Prot4 4.2.1.29 12.21.2006  no virus found
Ikarus T3.1.0.27 12.21.2006  no virus found
Kaspersky 4.0.2.24 12.22.2006  no virus found
McAfee 4924 12.21.2006 BackDoor-CKB
Microsoft 1.1904 12.21.2006  no virus found
NOD32v2 1934 12.21.2006 a variant of Win32/PcClient
Norman 5.80.02 12.21.2006  no virus found
Panda 9.0.0.4 12.21.2006 Suspicious file
Prevx1 V2 12.22.2006  no virus found
Sophos 4.12.0 12.21.2006  no virus found
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious
TheHacker 6.0.3.135 12.20.2006  no virus found
UNA 1.83 12.21.2006  no virus found
VBA32 3.11.1 12.21.2006 suspected of Backdoor.Hupigon.17
VirusBuster 4.3.19:9 12.21.2006 no virus found
2:
AntiVir 7.3.0.21 12.21.2006 TR/Dldr.Small.bgk
Authentium 4.93.8 12.22.2006  no virus found
Avast 4.7.892.0 12.21.2006 Win32:PcClient-EO
AVG 386 12.21.2006  no virus found
BitDefender 7.2 12.22.2006 Trojan.Downloader.Gen
CAT-QuickHeal 8.00 12.21.2006  no virus found
ClamAV devel-20060426 12.21.2006  no virus found
DrWeb 4.33 12.21.2006 Trojan.DownLoader.3856
eSafe 7.0.14.0 12.21.2006  no virus found
eTrust-InoculateIT 23.73.95 12.22.2006  no virus found
eTrust-Vet 30.3.3268 12.21.2006 Win32/Pcclient!generic
Ewido 4.0 12.21.2006 Backdoor.PcClient.cj
Fortinet 2.82.0.0 12.21.2006  no virus found
F-Prot 3.16f 12.21.2006  no virus found
F-Prot4 4.2.1.29 12.21.2006  no virus found
Ikarus T3.1.0.27 12.21.2006 Trojan-Downloader.Win32.Small.BID
Kaspersky 4.0.2.24 12.22.2006  no virus found
McAfee 4924 12.21.2006  no virus found
Microsoft 1.1904 12.21.2006  no virus found
NOD32v2 1934 12.21.2006 a variant of Win32/PcClient.IF
Norman 5.80.02 12.21.2006  no virus found
Panda 9.0.0.4 12.21.2006 Suspicious file
Prevx1 V2 12.22.2006  no virus found
Sophos 4.12.0 12.21.2006  no virus found
Sunbelt 2.2.907.0 12.18.2006  no virus found
TheHacker 6.0.3.135 12.20.2006  no virus found
UNA 1.83 12.21.2006  no virus found
VBA32 3.11.1 12.21.2006 suspected of Backdoor.PcClient.1
VirusBuster 4.3.19:9 12.21.2006 no virus found

木马兼下载器,好象还有驱动,RP有待提高!

[推荐]Cracker终结者：提供最优秀的软件保护技术
就是一个取文件的校验和，什么用都没用，比自己实现ＣＲＣ差多了．而这本书看起来都是一些旧技术，想看书的话还是等老大的新书吧．

HeapMagic
这招2K3下无效,与此类似的还有ABABABAB检测,不过同样对2K3无效.

Themida1.8.2.0加的记事本简单分析

最初由 heXer 发布
这样的帖子用马甲没啥必要吧

前几天不是『软件调试论坛』唱快板吗,我本来是想调节一下气氛,可没想到MM居然还有号,而且多年没用还能记得密码,服了.