|
这里有四组密码以及加密后的密文,怎么反推
大概是因为人家求的是加解密算法吧,最好是那种复制粘贴就可以直接通过编译的那种? void encode(PBYTE input,PBYTE output) { char key[]={4,2,6,5,1,9,3,7,8,2}; int i=0; while(*(input+i)) *(output+i)=*(iuput+i)^key[i%sizeof(key)]; } |
|
[求助]遇见一个未知壳,请大虾教导
0054F2D8看起来像OEP,代码比较像Delphi编译的程序。 不知如何回避位于地址 007FCD6B 的命令,至于这个,无文件无真相。可能是TLS解密,也有可能是什么其他的东西。 |
|
[求助]会ASM 进来一下
void InlinePatch_HoxFix(LPVOID oldFuncAddr,LPVOID newFuncAddr) { __ASM { push esi mov esi,oldFuncAddr cmp word ptr [esi],0xff8b jnz @Fail cmp byte ptr [esi-1],0x90 je @Next1 cmp byte ptr [esi-1],0xcc jnz @Fail @Next1: cmp dword ptr [esi-5],0x90909090 je @Next2 cmp dword ptr [esi-5],0xcccccccc jnz @Fail @Next2: sub esi,5 push 0 push esp push 40 push 7 push esi call VirtualProtect test eax,eax je @Fail1 mov esi,oldFuncAddr //以防esi被改写,重新赋值 mov byte ptr [esi-5],0xe9 mov eax,newFuncAddr sub eax,esi mov dword ptr [esi-4],eax mov word ptr [esi],0xfaeb mov eax,[esp] push esp push eax push 7 sub esi,5 push esi call VirtualProtect pop eax mov eax,0 retn 8 @Fail1: pop eax @Fail: mov eax,0xc0000001 retn 8 } } |
|
发个小东西,求和谐,求糟蹋。
VB6的程序,想什么呢? |
|
[求助]会ASM 进来一下
首先,funcaddress的类型未指定,不过看你的代码似乎是存放着函数地址的变量的指针。 其次,一般来说,代码段的内存属性是读取和执行,没有可写这条,所以你需要先改变下那一段的内存属性才能进行Inline补丁。改完之后推荐把内存属性改回去。 再次,这段代码可以用C来实现。没有asm的必要性 NTSTATUS InlinePatch_HoxFix(PBYTE oldFuncAddr,LPVOID newFuncAddr) { if (*oldFuncAddr==0x8b && *(oldFuncAddr+1)==0xff && (*(DWORD*)(oldFuncAddr-5)==0xCCCCCCCC || *(DWORD*)(oldFuncAddr-5)==0x90909090) && (*(oldFuncAddr-1)==0xCC || *(oldFuncAddr-1)==0x90)) { DWORD oldProtect; if(VirtualProtect((LPVOID)(oldFuncAddr-5),7,PAGE_EXECUTE_READWRITE,&oldProtect)) { *oldFuncAddr=0xeb; *(oldFuncAddr+1)=0xf9; *(oldFuncAddr-5)=0xe9; *(DWORD*)(oldFuncAddr-4)=(DWORD)((PBYTE)(newFuncAddr)-(oldFuncAddr-5)-5); VirtualProtect((LPVOID)(oldFuncAddr-5),7,oldProtect,&oldProtect); return STATUS_SUCCESS; } } return STATUS_UNSUCCESSFUL; } 测试了一下,没问题。 |
|
[求助]ZP脱壳修复后无法运行
很明显,422e94并不是OEP。 |
|
关于脱壳后的程序,自校验问题
前面一个地方是对的可能性高于后面一个,GetFileSize也有可能被其他什么部分的代码调用。 |
|
[求助]我想做个壳调用别人编译好的程序,求思路
这个无解。 如果别人想告你侵权,只要让法庭鉴定你是不是能拿出源代码,以及要求鉴定你和他得源代码相似程度就行了。 如果别人不在意,你可以自己改界面去除对方的一切存在证据。 |
|
[求助]请问:怎么拦截Textout这个API,并获取Textout的字符?
调用Detour,微软提供的解决方案 |
|
|
|
[求助]这个ZP的壳怎么才能脱去?
OEP是69E000,被偷到那边去了。 输入表稍微处理一下就没问题了。这个输入表的加密不难,你参照它的过程自己做个循环就可以全部解码出来了。 不过考虑到这玩意是个外挂。icoon也做完了你的要求,那我就不放出成品了。 |
|
[推荐]发现一款软件,可以完美伪装进程路径??大家来逆向...
PEB.ProcessParameters UNICODE_STRING ImagePathName UNICODE_STRING CommandLine UNICODE_STRING WindowTitle 修改为"C:\WINDOWS\System32\winlogon.exe" PEB.LoaderData.InLoadOrderModuleList UNICODE_STRING FullDllName 同上修改 UNICODE_STRING BaseDllName 修改为"winlogon.exe" |
|
[求助]能否可以帮忙脱掉这个PELock1.06的壳
偷窃代码简单搬运一下,就不修复了。反正应该不影响运行。 你不成功应该是一下问题: 1.IAT未修复 2.OEP代码偷窃未找回 3.代码段偷窃未补上 不过你的dump文件我没看。大概就是上面3条的组合。 附一个成品。 |
|
干掉快车的FlashGetAdProcess.exe进程!
修改Flashget3.exe文件的0x1B7509处的0xB0为0xDC即可。 |
|
[求助]FSG壳修复iat
没软件怎么帮你,目前想说的是,你为什么IAT自动搜索之后还非要把其实位置和大小都改成25000和1000? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值