能力值:
( LV2,RANK:10 )
|
-
-
2 楼
难道我是沙发!!??
这么具有历史意义的时刻!!??
不过我还是想买个TheMida,我记得鸡蛋壳兄弟是不是能帮忙购买啊?我用正版!我自豪!---摘自微软的挂历!
|
能力值:
( LV9,RANK:3410 )
|
-
-
3 楼
恭喜一下
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
好好写一个教程,后来者会在你的基础上努力
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
求教goldenegg
利用dll注入的方法dump后你是如何处理被偷走的代码的
程序修改了kernel的seh处理程序,进入一段子程序套子程序的代码(说白了就是一句SetEventA)然后利用一个Thread查表执行stealed code,
另外进入OEP后,还有多处MultiThread动态解码和加密,不知你有何好方法处理
我用的是最笨的方法,自己用c写了将近1000行代码补回去的
如有好的方法,请不吝赐教,多谢
|
能力值:
(RANK:1060 )
|
-
-
6 楼
大概这个意思,有错就自己修,脑子乱
mov esi, base
call @F
e8 00 00 00 00 90
@@:
mov eax, [esp]
sub eax, @B
neg eax
push ecx
call search_bytes_via_mask
jc __skip
add esi, eax
mov edi, esi
mov ax, 25FFh
stosw
add esi, [esi+4]
lea eax, [esi-4]
stosd
|
能力值:
( LV7,RANK:100 )
|
-
-
7 楼
最初由 syy 发布 求教goldenegg 利用dll注入的方法dump后你是如何处理被偷走的代码的 程序修改了kernel的seh处理程序,进入一段子程序套子程序的代码(说白了就是一句SetEventA)然后利用一个Thread查表执行stealed code, 另外进入OEP后,还有多处MultiThread动态解码和加密,不知你有何好方法处理
........
渐愧,我那个程序里,似乎没用到这个功能,其实我花大力气解决的是api的模拟,也就是把api的指令搬到其它地方去,我主要是解决了这一点。
原来,假如地址403000处存放settimer的地址77D07514,正常的程序是这么调用的:
call dword ptr [403000]
themida是这样高用的:
call 203000
nop
203000处存放SetTimer的指令。它把这个api模拟了。
我做的就是,使它变成:
call 77D07514
nop
这样在我不更换计算机的前提下,
dump出来的程序可以运行。
而你提到的这些高级功能,虽然我看到了SetEvent的调用,但却没见到什么stolen code。
|
能力值:
( LV7,RANK:100 )
|
-
-
8 楼
最初由 bokonger 发布 好好写一个教程,后来者会在你的基础上努力
现在这点工作还微不足道,得研究得多点再发吧,免得让人笑掉大牙
|
能力值:
( LV7,RANK:100 )
|
-
-
9 楼
最初由 syy 发布 求教goldenegg 利用dll注入的方法dump后你是如何处理被偷走的代码的 程序修改了kernel的seh处理程序,进入一段子程序套子程序的代码(说白了就是一句SetEventA)然后利用一个Thread查表执行stealed code, 另外进入OEP后,还有多处MultiThread动态解码和加密,不知你有何好方法处理
........
请问:能共享一下你的那1000行C代码吗?谢谢。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
最初由 Salivaxiu 发布 我用正版!我自豪!---摘自微软的挂历!
那里有卖我去买个用
|
|
|