|
[原创]代码混淆之我见(四)
顶, 分析的非常透彻了 |
|
[原创]自写保护壳交流——指令的膨胀和花指令的插入
Anskya 根据《虚拟机系统与进程的通用平台》的定义 vmp3的跳转属于直接线索寻址,在gcc下goto可以直接goto *ip这样跳转(看过jvm的代码就知道,jvm也是这么干的) 楼主的标志位处理真的 ...谢谢小零的解析,tmd的混淆技术已经相当成熟了,我也明白这个混淆引擎写下去会很像它。 我示意的push imm 混淆其实之所以没有处理标记位是急于想找人交流,直接从vm框架中 vmhandle 加解密里面直接拿出来用的,vm框架中veip指令流是按小零说的将pcode 用加减 not xor rol ror等随机加密的。 因为写壳是小众中的小众,所以一直没有完整的学习框架,大家都是在摸索中学习,却不把知识传承。这也可能导致大家一直在学这些东西,但没办法能站在巨人的肩膀上继续创新的原因。 map1.3的虚拟机像vmp2.x 的原因我想可能是他写壳的时候3.x 没出来,我现在的虚拟机是3.x 架构,因为打算写壳的时候3.x 授权分析都已经出来了。在保护强度其实大家都是在消磨crack 者们的耐心。所以时至今日对我来说,代码已经不重要了,重要的有一种思路,一种新的思想。
最后于 2019-3-26 20:18
被Wszzy编辑
,原因:
|
|
[原创]自写保护壳交流——指令的膨胀和花指令的插入
猪会被杀掉 喷一句打击的话,毫无技术含量。虽然我认识demoscene。除了你的帖子 https://bbs.pediy.com/thread-250431.htm 大家也可以去看看 https://bbs.pediy.com/thread-223629.htm 这个demo写的也挺好 |
|
[原创]自写保护壳交流——指令的膨胀和花指令的插入
demoscene 现在还研究壳的已经不多了,LZ是准备商业化吗,可能是未来的竞争对手 异或 等操作 imm = ( 0x123456+0x111111 ) ^ 0x22222 = 0x2167 ...谢谢 demoscene 指出这个问题。算数运算指令是会改变eflage标志寄存器,之前想push 中间寄存器的时候将flage寄存器也压栈保存一下,不过这样做特征太明显,很容易被定位针对,还没有想到什么好的方法。 目前在修PE模块的重定位模块,单独处理混淆部分的重定位数据。这样混淆起来就不必考虑必须模拟需要修正重定位部分的代码。 在写壳的过程中我发现如果只是自己的壳保护自己的代码是比较容易的,碰到问题可以很快解决,如果写一个商用的壳真的需要考虑很多东西,因为总有一些在测试中不会出现的问题出现在计划之外,所以商业化应该是很遥远的事情,不过即使商业化也不会做成网络验证的,应该是一套保护系统,壳只是其中一部分。 我是自己在做这个东西,平时上班很忙、加上没什么人交流所以进度很慢,希望可以有些志同道合的小伙伴多多交流 |
|
|
|
|
|
|
|
[分享][原创]Win7 x86 SSDT Inline Hook
然后hook高频函数也不挂其他核心 |
|
|
|
[求助] c与汇编混合编译时链接出错
extern "C" int __stdcall fun(); |
|
[求助]如何让驱动兼容win7
蓝屏代码是7e的话按照沙发的方式设置就可以 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值