|
|
|
|
|
|
|
[招聘]北京盛安怡和公司招聘开发人员
恭喜发财红包拿来 |
|
|
|
[原创]VProtect1.6.2更新
发个UNPACKME吧 不然大牛都不玩 |
|
|
|
[请勿新开主题!甲壳相关主题合并帖]
一早来 发现S牛已经出手了 只是处理了几条指令 其他的诸如MOV/CMP/PUSH/RETN都没有模拟
从003F0004开始 每14字节代表一条指令 以01,02,03,04开头的为模拟指令,本例中只出现了3中模拟.另外以00开头的为真实指令. 模拟: 01为CALL,003F0040为例,第5字节的0C为地址长度.即CALL EIP+5+0C 02为JMP ,以003F007C处为例 第3字节的02代表指令长度,即2字节的JMP,也就是EB,第5字节的14为地址长度.即JMP EIP+5+14 02还有一种是第4字节为1.则为JMP [XX]. 03为JCC.以003F002C 为例 第3字节的02代表指令长度,即2字节的JCC,第9字节的03代表JCC类型,即JNZ(?),第A字节的25为地址长度,即JNZ EIP+5+25 04此例没出现.如下 003E2D29 /75 05 jnz short 003E2D30 真实: 00类为真实指令.以003F0004为例.第3字节的05代表指令长度,即从第9字节开始的长度为5的一条汇编指令.此处即为MOV EAX,1,即B801000000 他只是把这条指令搬到申请的内存空间执行罢了. 本来只是看看不说话的 不过LZ频繁调戏我 我只能调戏回去了 按照以上分析 最后结果和S牛一样. |
|
|
|
[原创]Private exe Protector 3.14 Unpacked By Kissy[PeMagic]
他的IAT加密是有问题的 体现在C程序里面 保护选项一个都不选 他也是会处理IAT的 IAT里面的地址被他换成了加密的地址 但是IAT调用它却没有处理 BORLAND程序一般没问题 但是C里面有这样的调用 mov eax,[xx] 作者想当然的以为后面肯定是call eax,那么这样也可以的.问题是有些时候后面可能是 mov esi,[eax]或者其他代码.尤其是在记事本或者计算器这种特殊的文件里,那这里必挂无疑. 拿晕7记事本测试 入口附近 00863753 > /A1 10138600 mov eax,dword ptr ds:[861310] 00863758 . |8B30 mov esi,dword ptr ds:[eax] 0086375A > |8975 E0 mov dword ptr ss:[ebp-20],esi 0086375D . |8A06 mov al,byte ptr ds:[esi]861310: 00861300 >76E727C3 msvcrt.__p__commode 00861304 >76EF77AD msvcrt.__setusermatherr 00861308 >76ECB2EF msvcrt._amsg_exit 0086130C >76E6C151 msvcrt._initterm 00861310 >76F004D8 offset msvcrt._acmdln 00861314 >76E736AA msvcrt.exit 00861318 >76E6F607 msvcrt._ismbblead 0086131C >76E8DC75 msvcrt._XcptFilter 00861320 >76E72BC0 msvcrt.__getmainargs 00861324 >76E737D4 msvcrt._cexit 00861328 >76ECB2C0 msvcrt._exit一般来说 IAT是连续的 就算分段 每段之间也是连续的 这里00861310出现了个OFFSET HOHO 于是就挂了 不知道是作者没有测试 还是偷懒有意不支持这类特殊PE文件? 其实 就算这里解决了 他还是不支持记事本的 应该说是他在整体设计的时候 就压根没打算支持这类特殊文件. 很多加密壳有选择性的加密API,看来是很明智的. |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值