|
[求助]我为“加壳”范愁,请高手指点
vmp 兼容性不如 tmd 的好,推荐直接单一tmd |
|
[求助]UIF 输入表修复工具 能否修复DLL?
顶起来,坛主看看 |
|
[讨论]关于ollydbg script 另类用法
就是程序在调试前 某个内存基地址是不存在的,要调试运行到一定时候才会逐步出现的内存区段,所以写脚本是,这个内存基地址没有,就无法设置内存断点,现在我提出的问题是,如果让脚本运行起来一直见检测这个内存区段有没有,知道有了才进行处理,或者断点。 |
|
[求助]ollyscript 脚本中的疑问
我在分析 nooby 的 tmd_iat.osc 脚本时发现 mov tmdbase, 9C0000 //OEP gpa "ExitThread","kernel32.dll" gmi $RESULT, MODULEBASE mov kernel32base, $RESULT ... mov tmp, tmdbase findaddr: find tmp, kernel32base //在OEP地址处查找 kernel32.dll :: call cmp $RESULT, 0 je findmagic //循环中若无法查到则跳到 findmagic mov tmp, $RESULT //查到的地址给 tmp bphws tmp, "r" //tmp 设 读取硬件断点 inc tmp //tmp加一 jmp findaddr //循环查询 ------------------------------------------------------------------------ 现在就出现这样的情况: tmd 2.0.9.0和2.1.0.0 版本的 OEP 区段(这个区段已经跳过原伪装EP) 中没有查到 kernel32.dll :: call 这是一处关键,如果找不到就无法设置硬件断点,那么一旦shift+f9 就直接运行程序了 |
|
[求助]ollyscript 脚本中的疑问
你指的同一模块是否就是 kernel32.dll 这个整体,还是 kernel32.dll 又分为几大模块组成,然后几大模块下面又有很多不同函数组成? |
|
[求助]VMP高手进来指条明路
小弟我能力有限,只能能绕过TMD反调试保护跑起来,手脱总是跑偏。。。 使用工具 ODbyDYK v1.10 + ODbgScript 1.65 + StrongOD 0.2.6.405 可以跑起来,Themida&WinLicenScript_1.91 脚本报 “没有加密表,可能是以前版本!”,好像是脚本在处理eip时没有与 1.91脚本匹配( #8BB5??????0?# ~ ),不知道有没有其他脚本了 |
|
[原创]说说THEMIDA新版的DIY
他在往上加壳。。。我们要去壳。。。确实白问 |
|
[原创]说说THEMIDA新版的DIY
005F3652 83EC 04 sub esp,4 005F3655 50 push eax 005F3656 53 push ebx 005F3657 E8 01000000 call 005F365D ; 005F365D 005F365C CC int3 005F365D 58 pop eax 005F365E 8BD8 mov ebx,eax 005F3660 40 inc eax 005F3661 2D 07B20100 sub eax,1B207 ---- 005F3666 2D 5D365F00 sub eax,5F365D ---- 005F366B 05 52365F00 add eax,5F3652 ----这3部计算真实EP 005F3670 803B CC cmp byte ptr ds:[ebx],0CC 005F3673 75 19 jnz short 005F368E ; 005F368E 005F3675 C603 00 mov byte ptr ds:[ebx],0 005F3678 BB 07B20100 mov ebx,1B207 ----大小 005F367D 68 C78AA900 push 0A98AC7 ---异或KEY 005F3682 68 C78AA900 push 0A98AC7 ---加KEY 005F3687 53 push ebx 005F3688 50 push eax 005F3689 E8 0A000000 call 005F3698 ; 005F3698 005F368E 83C0 14 add eax,14 005F3691 894424 08 mov dword ptr ss:[esp+8],eax 005F3695 5B pop ebx 005F3696 58 pop eax 005F3697 C3 retn 005F3698 55 push ebp 005F3699 8BEC mov ebp,esp 005F369B 60 pushad 005F369C 8B75 08 mov esi,dword ptr ss:[ebp+8] 005F369F 8B4D 0C mov ecx,dword ptr ss:[ebp+C] 005F36A2 C1E9 02 shr ecx,2 005F36A5 8B45 10 mov eax,dword ptr ss:[ebp+10] 005F36A8 8B5D 14 mov ebx,dword ptr ss:[ebp+14] 005F36AB EB 08 jmp short 005F36B5 ; 005F36B5 005F36AD 3106 xor dword ptr ds:[esi],eax ---异或解码 005F36AF 011E add dword ptr ds:[esi],ebx ---加法解码 005F36B1 83C6 04 add esi,4 005F36B4 49 dec ecx 005F36B5 0BC9 or ecx,ecx 005F36B7 ^ 75 F4 jnz short 005F36AD ; 005F36AD 005F36B9 61 popad 005F36BA C9 leave 005F36BB C2 1000 retn 10 这个壳如何脱啊,LZ |
|
[求助]VMP高手进来指条明路
没人回答自能自己琢磨自己回答咯~~~ |
|
[求助]VMP高手进来指条明路
壳已经查出为 TMD 2.0.5.0 用新的扫描方式 3&4扫出 |
|
[求助]VMP高手进来指条明路
PE 扫描方式 1&3是什么意思呢? |
|
|
|
[求助]VMP高手进来指条明路
用 ExeInfoPE是可以 查出 Themida & WinLicense 2.0.x.0 - struct (Hide from PE scanners II-V) 但是我要脱的程序根本查不到是什么壳,而且出入也不小啊~ |
|
[求助]VMP高手进来指条明路
应该不完全是,可能修改过的~ |
|
[求助]VMP高手进来指条明路
这种壳怎么就是查不出呢?连最新版的ExeInfoPE都查不出~~~ |
|
[求助]VMP高手进来指条明路
知道是什么壳就好办多了,不然真的摸不着头脑,自己不行在请教fotgot。。。感谢大家的关注 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值