[求助]帮看一下这是什么壳（PEID查不出壳）-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
a飞飞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	a飞飞 2 楼全部是压缩过的上传的附件： 2.jpg （23.72kb，101次下载） 2010-7-3 21:35 0
a飞飞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	a飞飞 3 楼软件下载地址 http://down.cltz.cn/cailong.exe 2010-7-3 21:39 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 4 楼 WinLicense2.XX以上版本 2010-7-3 23:05 0
a飞飞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	a飞飞 5 楼不对呀，怎么又有人说是TMD的壳 2010-7-6 23:57 0
a飞飞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	a飞飞 6 楼关于TMD/WL V2.X 新增防PEID等查壳工具的功能(Hide form PE scanners) Themida公司的最新版的WL V2.0.1.5，从界面上看原来的最后区段名自定义的那个功能换成了新增的防PEID这种查壳工具的功能(Hide form PE scanners)。所以特别针对这个功能做了测试，更新PEID的数据库。该功能的三个选项分别为：1，standard；2，Type1；3，Type2。结论：用standard选项加出来的，同原来老版的TMD/WL特征一样。用Tpye1加出来的特征，是先加了一段代码后再RETN到原来老版本的壳EP处，本人已找到。如下供参考： [Themida/WinLicense V1.0.0.0-V1.8.0.0 -> Oreans Technologies * Sign.By.fly] signature = B8 00 00 00 00 60 0B C0 74 58 E8 00 00 00 00 58 05 ?? 00 00 00 80 38 E9 75 ?? 61 EB ?? E8 00 00 00 00 ep_only = true [Themida/WinLicense(EXE) V1.8.2.0 + -> Oreans Technologies * Sign.By.BS] signature = B8 00 00 00 00 60 0B C0 74 68 E8 00 00 00 00 58 05 ?? 00 00 00 80 38 E9 75 ?? 61 EB ?? DB 2D ?? ?? ?? ?? FF FF FF FF FF FF FF FF 3D 40 E8 00 00 00 00 ep_only = true [Themida/WinLicense(DLL) V1.8.2.0 + -> Oreans Technologies * Sign.By.BS] signature = B8 00 00 ?? ?? 60 0B C0 74 68 E8 00 00 00 00 58 05 ?? 00 00 00 80 38 E9 75 ?? 61 EB ?? DB 2D ?? ?? ?? ?? FF FF FF FF FF FF FF FF 3D 40 E8 00 00 00 00 ep_only = true [TMD/WL V2.X (Type1) -> Oreans Technologies * Sign.By.BS] signature = 83 EC 04 50 53 E8 00 00 00 00 58 8B D8 2D ?? ?? ?? ?? 2D 35 CE 60 00 05 2B CE 60 00 83 BB 00 0C 00 00 00 75 1C 89 9B 00 0C 00 00 BB 00 10 00 00 ep_only = true 问题：没法静态确定用Type2选项加出来的PE特征，因为我每次加的同一个程序出来的程序。直到返回到原来老版本的TMD/WL的壳EP处的段字节代码字节数大小都不同。没法确定数据库。想请教一下。。有什么方法可以静态的对这种PE文件特征确认，以用在PEID里的数据库里？这种是不是没办法静态PE查看的？ OD里是可以动态调试观察的确认的。 fly 发表于 2008-6-23 16:34 收到你的PM了，因为最近比较忙回复的晚了请见谅 1.某些使用动态引擎的壳或者可以伪装的壳不容易使用ep_only = true的确定特征码 2.特征码需要观察大量的样本，分析再提取，样本应包含各主要加壳选项保护模式的 3.试试ep_only =false方式 4.其他问题我再找机会确认 CCHLord 发表于 2008-6-23 16:52 >> 没法静态确定用Type2选项加出来的PE特征，因为我每次加的同一个程序出来的程序。 >> 直到返回到原来老版本的TMD/WL的壳EP处的段字节代码字节数大小都不同。没法确定数据库。能否上个图啊 Type2选项这么神奇啊 PEID 以后就不管用了喔那该如何是好啊呵呵 musics 发表于 2008-6-24 01:28 WL V2.0还真是越来越BT了,谢谢提醒 RegKiller 发表于 2008-6-24 01:33 想问下 FLY 什么时候可以把你的 PEID 最新的数据库放出来一份？ dryzh 发表于 2008-6-28 19:36 感谢FLY大大，忙里抽空提点我。 to:CCHLord 图到是没有。。COPY下来的代码，DUMP文件或加壳原文件就有。有兴趣的话我伊妹给你。星辰发表于 2008-6-28 20:27 越来越怀疑现在的壳到底是壳还是病毒＝＝都快比病毒还BT了＠＠ zbmzy 发表于 2008-7-17 10:18 WL V2.0还真是越来越BT了 cxyxjp 发表于 2008-7-18 11:21 收藏一份。真的是学到了不少的东西。UNPACK强:P :P 2010-7-7 00:00 0
AIWF 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	AIWF 7 楼是TMD 1970吧，我在调试的一个软件的EP段和你这个一样 2010-7-7 08:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
a飞飞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	a飞飞 2 楼全部是压缩过的上传的附件： 2.jpg （23.72kb，101次下载） 2010-7-3 21:35 0
a飞飞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	a飞飞 3 楼软件下载地址 http://down.cltz.cn/cailong.exe 2010-7-3 21:39 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 4 楼 WinLicense2.XX以上版本 2010-7-3 23:05 0
a飞飞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	a飞飞 5 楼不对呀，怎么又有人说是TMD的壳 2010-7-6 23:57 0
a飞飞雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	a飞飞 6 楼关于TMD/WL V2.X 新增防PEID等查壳工具的功能(Hide form PE scanners) Themida公司的最新版的WL V2.0.1.5，从界面上看原来的最后区段名自定义的那个功能换成了新增的防PEID这种查壳工具的功能(Hide form PE scanners)。所以特别针对这个功能做了测试，更新PEID的数据库。该功能的三个选项分别为：1，standard；2，Type1；3，Type2。结论：用standard选项加出来的，同原来老版的TMD/WL特征一样。用Tpye1加出来的特征，是先加了一段代码后再RETN到原来老版本的壳EP处，本人已找到。如下供参考： [Themida/WinLicense V1.0.0.0-V1.8.0.0 -> Oreans Technologies * Sign.By.fly] signature = B8 00 00 00 00 60 0B C0 74 58 E8 00 00 00 00 58 05 ?? 00 00 00 80 38 E9 75 ?? 61 EB ?? E8 00 00 00 00 ep_only = true [Themida/WinLicense(EXE) V1.8.2.0 + -> Oreans Technologies * Sign.By.BS] signature = B8 00 00 00 00 60 0B C0 74 68 E8 00 00 00 00 58 05 ?? 00 00 00 80 38 E9 75 ?? 61 EB ?? DB 2D ?? ?? ?? ?? FF FF FF FF FF FF FF FF 3D 40 E8 00 00 00 00 ep_only = true [Themida/WinLicense(DLL) V1.8.2.0 + -> Oreans Technologies * Sign.By.BS] signature = B8 00 00 ?? ?? 60 0B C0 74 68 E8 00 00 00 00 58 05 ?? 00 00 00 80 38 E9 75 ?? 61 EB ?? DB 2D ?? ?? ?? ?? FF FF FF FF FF FF FF FF 3D 40 E8 00 00 00 00 ep_only = true [TMD/WL V2.X (Type1) -> Oreans Technologies * Sign.By.BS] signature = 83 EC 04 50 53 E8 00 00 00 00 58 8B D8 2D ?? ?? ?? ?? 2D 35 CE 60 00 05 2B CE 60 00 83 BB 00 0C 00 00 00 75 1C 89 9B 00 0C 00 00 BB 00 10 00 00 ep_only = true 问题：没法静态确定用Type2选项加出来的PE特征，因为我每次加的同一个程序出来的程序。直到返回到原来老版本的TMD/WL的壳EP处的段字节代码字节数大小都不同。没法确定数据库。想请教一下。。有什么方法可以静态的对这种PE文件特征确认，以用在PEID里的数据库里？这种是不是没办法静态PE查看的？ OD里是可以动态调试观察的确认的。 fly 发表于 2008-6-23 16:34 收到你的PM了，因为最近比较忙回复的晚了请见谅 1.某些使用动态引擎的壳或者可以伪装的壳不容易使用ep_only = true的确定特征码 2.特征码需要观察大量的样本，分析再提取，样本应包含各主要加壳选项保护模式的 3.试试ep_only =false方式 4.其他问题我再找机会确认 CCHLord 发表于 2008-6-23 16:52 >> 没法静态确定用Type2选项加出来的PE特征，因为我每次加的同一个程序出来的程序。 >> 直到返回到原来老版本的TMD/WL的壳EP处的段字节代码字节数大小都不同。没法确定数据库。能否上个图啊 Type2选项这么神奇啊 PEID 以后就不管用了喔那该如何是好啊呵呵 musics 发表于 2008-6-24 01:28 WL V2.0还真是越来越BT了,谢谢提醒 RegKiller 发表于 2008-6-24 01:33 想问下 FLY 什么时候可以把你的 PEID 最新的数据库放出来一份？ dryzh 发表于 2008-6-28 19:36 感谢FLY大大，忙里抽空提点我。 to:CCHLord 图到是没有。。COPY下来的代码，DUMP文件或加壳原文件就有。有兴趣的话我伊妹给你。星辰发表于 2008-6-28 20:27 越来越怀疑现在的壳到底是壳还是病毒＝＝都快比病毒还BT了＠＠ zbmzy 发表于 2008-7-17 10:18 WL V2.0还真是越来越BT了 cxyxjp 发表于 2008-7-18 11:21 收藏一份。真的是学到了不少的东西。UNPACK强:P :P 2010-7-7 00:00 0
AIWF 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	AIWF 7 楼是TMD 1970吧，我在调试的一个软件的EP段和你这个一样 2010-7-7 08:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复