|
[原创]ACProtect2.1 Unpacked By Kissy[PeMagic]
那里的SDK我没有修 无KEY |
|
[活动结束]看雪十周年论坛活动 [1楼己公布结果]
新年快乐 ^_^ |
|
|
|
[求助]修改内存中的PE头
VirtualProtect |
|
[原创]说说THEMIDA新版的DIY
效果就是可以忽悠下PEID以及减少一些杀软静态查毒的误报 当然更广点 可以想干嘛就干嘛 比如写个DLL 让TMD乖乖写进去 然后执行你想要的功能先 给各位扩展下思路 提供一种壳插件接口的DIY法. |
|
[原创]Private_exe_Protector 2.71 Full-Protection Unpacking
最近一直在玩PEP,陆陆续续对它的IAT加密,VM,ANTI,资源加密都有了点认识,IAT和ANTI前面已经写过了,在这里http://bbs.pediy.com/showthread.php?t=97579 今天来简单谈谈他的资源加密. 从头说起. PEP会把原始文件的资源片加密后分散保存,然后Hook FindResourceExW 这么几个资源相关的函数,并判断调用是否来自目标程序,如果是则指向壳里面PEPVM.DLL对应的hookxx函数,反之还原被hook jmp占用的几个字节,并调往原始函数继续执行. 关于它的资源加密,fxyang以及DarkBull两位前辈都是通过LoadResource,LoadStringX,LoadBitmapX,LoadCursorX,LoadIconX观察返回值确定资源片地址,这样做不仅体力活重且容易漏,因为不是每个程序都会一一调用到这些函数. 所以我们不得不寻求更高效的修复法: 既然要在调用资源的时候能够正确被找到,那么肯定要查表.壳通过查表才知道被他加密的资源片保存在哪里.既然查表,肯定有索引. 所以壳通过FindResourceA(W)返回索引值,通过LoadResource查表得到资源片地址,通过SizeofResource得到当前资源片大小. 索引值从1开始,与原始文件的资源片在顺序上一一对应. 这里我们可以强行喂给它索引值,并递加此索引,让壳查表解密,然后再强行跳往hookSizeofResource,让壳计算资源片大小.这样一来,体力活全部都由壳自己来完成了.^_^ 当hookLoadResource返回值为0时,表示当前索引不存在,也就是说所有的资源片已经全部被我们找到了. 分析完毕,可以写脚本了. //////////////////////////////////////////// 脚本我写成了全自动的,停在OEP后跑脚本,跑完后原始程序中所有的资源片就全部DUMP出来了.贴回dump+fix的程序中即可. |
|
[原创]小试甲壳
修复成直接调用然后用UIF修复 想必你看不懂我的脚本也不知道UIF吧 可千万别说说根据我之前发布在网上的没加壳的版本脱壳的 没见过没加壳版 事实上 脱壳花了1分钟 写脚本花了1分钟 跑脚本花的时间长点 最长的是写文章了 广告上牛吹大了
此壳还有太多路要走 玩壳的都看出来了 点到即止 再一个 我只是讨论脱壳 没有动你功能代码 所以不算破解 |
|
[原创]小试甲壳
我在看雪的第一篇主题帖 谢谢管理鼓励 以后写文章UPK和看雪一起更新 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值