|
[分享]自己修改的de4dot专克MaxtoCode
我测试了下,只有3.77的能解,其他都是 WARNING: Ignore ApplicationException, Could not decrypt methods 这几个样本加密版本都是相同的 EncryptionVersion.V8,相同的Rva900h和McKey8C0h 以下是样本: 57C649CB = Wed, 31 Aug 2016 03:06:51 / V 3.83 完全无解 5766EE37 = Sun, 19 Jun 2016 19:10:47 / V 3.82 完全无解 5655BF0E = Wed, 25 Nov 2015 14:00:46 / V 3.81 接近无解 执行几次 GetBlowfishKey 55043264 = Sat, 14 Mar 2015 13:06:44 / V 3.79 sp1 接近无解 执行几次 GetBlowfishKey 531729C4 = Wed, 05 Mar 2014 13:42:28 / V 3.77 可解 按照你的说法,387以后才每次生成样本是更换密钥,但似乎哪里有问题,还是算必须根据不同样本编写不同的解密算法? case EncryptionVersion.V8: decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt4_v6, Decrypt2_v2, Decrypt3_v6, Decrypt1_v6, Decrypt6, Decrypt8_v6, Decrypt9_v6, Decrypt7, Decrypt10, Decrypt5 }, new uint[] { 0x5166DB4F, 0x51927495 })); decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt4_v7, Decrypt2_v2, Decrypt3_v6, Decrypt1_v7, Decrypt6, Decrypt8_v7, Decrypt9_v7, Decrypt7, Decrypt5 }, new uint[] { 0x51413D68 })); decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt4_v7, Decrypt2_v2, Decrypt3_v6, Decrypt1_v7, Decrypt6, Decrypt8_v8, Decrypt9_v8, Decrypt7, Decrypt5 }, new uint[] { 0x513D7124, 0x51413BD8 })); decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt4_v5, Decrypt2_v2, Decrypt3_v6, Decrypt1_v9, Decrypt6, Decrypt8_v8, Decrypt9_v9, Decrypt7, Decrypt5 }, new uint[] { 0x513D4492, 0x5113E277 })); decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt3_v6, Decrypt2_v2, Decrypt4_v8, Decrypt1_v10, Decrypt8_v9, Decrypt9_v10, Decrypt6, Decrypt7, Decrypt5 }, new uint[] { 0x526BDD12 })); decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt1_v10, Decrypt4_v8, Decrypt2_v2, Decrypt3_v6, Decrypt6, Decrypt8_v9, Decrypt9_v10, Decrypt7, Decrypt5 }, new uint[] { 0x526BC020 })); decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt3_v7, Decrypt2_v6, Decrypt4_v9, Decrypt1_v11, Decrypt8_v10, Decrypt11_v1, Decrypt6, Decrypt7, Decrypt5 }, new uint[] { 0x5296E242, 0x52B3043C })); decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt4_v10, Decrypt1_v12, Decrypt3_v8, Decrypt2_v7, Decrypt6, Decrypt8_v11, Decrypt9_v11, Decrypt7, Decrypt5 }, new uint[] { 0x531729C4 })); // 能解开的在这里有一致的样本 decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt1_v13, Decrypt4_v11, Decrypt2_v8, Decrypt3_v9, Decrypt6, Decrypt8_v11, Decrypt9_v12, Decrypt7, Decrypt5 }, new uint[] { 0x52B2B2A3 })); decrypters.Add(new Decrypter(new DecryptFunc[] { Decrypt2_v9, Decrypt3_v10, Decrypt1_v10, Decrypt4_v12, Decrypt8_v12, Decrypt9_v13, Decrypt6, Decrypt7, Decrypt5 }, new uint[] { 0x53172907 })); break; 作者有没有学习 Maxtocode 解密算法的编写方法?
最后于 2019-7-11 01:04
被lofullen编辑
,原因:
|
|
[讨论]已初步模拟出魔兽世界客户端通讯(机器人)
感谢大家的支持~ |
|
[求助]我自己弄了个密聊工具,但心里没底,不知道强度如何
我提醒你一下,用对称加密 OPENSSL 的 EVP_encrypt,建立会话前,先 dorp 掉 一部分字节的数据进去,发送和接收独立加解密,那么每次发送一次数据过去以后,必须另一头解密,整个过程是顺序进行的,次序不能颠倒也不能乱,如果有人截获了部分数据那么是无法解密的,要破解几乎是不可能的。 |
|
[求助]求 safengine(or shielden) 2.x IAT 修复脚本
没标题党啊?是你眼花。。。我写着 “求”呢 |
|
[讨论]已初步模拟出魔兽世界客户端通讯(机器人)
skyfire 是魔兽世界的服务端模拟器啊,国外的一个开源项目,前身由 MaNGOS(2005-2009),TrinityCore(2008-2011)。 |
|
[讨论]已初步模拟出魔兽世界客户端通讯(机器人)
修改?暴雪313到现在就没改过算法~ |
|
[讨论]已初步模拟出魔兽世界客户端通讯(机器人)
skyfire 出406模拟器的哪天起,早就不再是问题了~ |
|
[讨论]已初步模拟出魔兽世界客户端通讯(机器人)
呵呵 就是脱机挂 |
|
[讨论]已初步模拟出魔兽世界客户端通讯(机器人)
其实不是,进游戏的加密算法就是 openssl 的 EVP_encrypt 对称加密,只有一套的,只是WOW 应用了 drop1024 所以看上去加密算法不一样,你无法单独进行某个封包的解密而已。就是说必须连续的解密,顺序才行。 |
|
[求助]VMP 脱壳后不能用ImportREC?
呵呵 VMP 脱壳后的IAT修复也不难,比 TMD 都要简单~ DLL 修复除了 IAT 还有重定位表,EXE 就简单多了~ 只要没有VM,几乎都可以秒脱~ |
|
[求助]VMP 脱壳后不能用ImportREC?
我来公布正确答案,ImportREC,确实有个BUG,但不是5楼所说的那样,可能是 VMP 故意整的,ImportREC 一直也没修复,遇到输入表引用出错的DLL,就会强制关闭,而VMP 会让加壳过的 DLL,输入表出错,甚至缺失(但是尺寸依然设置在PE头中),所以ImportREC会出错,解决办法就是载入OD后,找到OEP后,把输入表去掉,但不能直接去掉,VMP有自校验。 申精的回复~ |
|
[求助]VMP 脱壳后不能用ImportREC?
自己解决了。。。 |
|
[求助]这个壳比vmp还厉害
天下没有绝对强壳的,只有研究的人多不多 |
|
[原创]女人是不是不适合学逆向啊
我只是好奇 LZ 到今天还在学 逆向?佩服 |
|
[原创]女人是不是不适合学逆向啊
我去,5月8号 1贴~~~那我15号再来一层 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值