hying 0.7x的脱壳过程-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

hying 0.7x的脱壳过程

发表于: 2005-3-19 15:45 24644

hying 0.7x的脱壳过程

window

2005-3-19 15:45

24644

查看主题内容

收藏・3

免费・7

支持

最新回复 (52) ◀ 1 2 3 ▶
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 26 楼谁知道hying壳的PEID特征码啊！！！ 2005-3-20 14:44 0
loveaixing 雪币： 86 活跃值： (838) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 185 粉丝 1 关注私信	loveaixing 27 楼好呀,等了好久了!!! 2005-3-20 17:11 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 28 楼这种壳都能分析出来，正是狂人啊！不知道搂主分析这个软件用了多长时间？两个月？ 2005-3-20 19:54 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 29 楼用了一个礼拜比起hexer等一个通宵搞定的大牛来，真是让我无地自容啊。。。 2005-3-20 20:45 0
goldenegg 雪币： 216 活跃值： (370) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 30 楼一个礼拜也很牛了啊，我断断续续搞了两个星期themida了，现在还是没有搞定 2005-3-20 21:25 0
游上岸的鱼雪币： 207 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	游上岸的鱼 1 31 楼好好复杂头痛看的・・・・・・・・・・ 2005-3-20 23:33 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 32 楼最初由 window 发布用了一个礼拜比起hexer等一个通宵搞定的大牛来，真是让我无地自容啊。。。给我一个月我都搞不定那我不是要去跳楼 2005-3-21 02:54 0
loveaixing 雪币： 86 活跃值： (838) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 185 粉丝 1 关注私信	loveaixing 33 楼 ZwSetInformationThread还没搞明白! 那位大侠教教 2005-3-21 14:06 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 34 楼 ZwSetInformationThread 用这个函数可以将某个线程的调试端口设为0，使得Win32调试器无法再收到该线程的调试事件，使调试器无法再调试该线程。这个主要是针对VC++这样的ring3调试器的。我在这篇文章中的处理是直接跳过去,没有给它机会执行. 2005-3-21 17:00 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 35 楼强贴要留名 2005-3-21 22:29 0
nusic 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	nusic 36 楼 l2walker 呵呵是不 kanxue 老大 2005-3-22 00:21 0
loveaixing 雪币： 86 活跃值： (838) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 185 粉丝 1 关注私信	loveaixing 37 楼引用: -------------------------------------------------------------------------------- ZwSetInformationThread 用这个函数可以将某个线程的调试端口设为0，使得Win32调试器无法再收到该线程的调试事件，使调试器无法再调试该线程。这个主要是针对VC++这样的ring3调试器的。 -------------------------------------------------------------------------------- 我在这篇文章中的处理是直接跳过去,没有给它机会执行. 这一直在这一步过不去,改了,后面壳在解码的时候好像解的不完全,对一些处理没有完成,不知高手能不能写一篇详细的点的,一点一点分析,让我等菜鸟学学! 2005-3-22 12:13 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 38 楼调用过程是这样的 push arg1 push arg2 ... call ZwSetInformationThread 在第一个push的时候跳走,注意堆栈平衡就行了. 2005-3-22 13:55 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 39 楼值得学习！ 2005-3-24 12:29 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 40 楼郁闷哦,这几天脱一个DLL时, 用OD调试到入口后, 发现解出的代码和不用OD调试解出的代码不同也就是解出的很多代码是错的, 还好正常的代码修复后还可以正常运行 2005-4-16 07:18 0
nettao 雪币： 202 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nettao 41 楼很不错！！ 2005-4-16 08:37 0
东方弘雪币： 204 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 1 关注私信	东方弘 42 楼文章不错！楼主的话中话可以理解，挑明了就是了。老版本应该没什么大问题，只是不见Mr.hying表明态度。 2005-4-16 12:11 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 43 楼 i am hying ...... 真是太敢谢谢了!!! 2005-4-18 12:31 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 44 楼最初由 kimmal 发布 i am hying ...... 真是太敢谢谢了!!! 是真的吗? 2005-4-18 13:08 0
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 45 楼最初由看不懂发布是真的吗? 当然是假的. 2005-4-18 15:21 0
sadan 雪币： 212 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 252 粉丝 0 关注私信	sadan 1 46 楼上面这个才是真地~~ 2005-4-18 22:02 0
littlepotato 雪币： 1 活跃值： (344) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 158 粉丝 1 关注私信	littlepotato 47 楼最初由 kimmal 发布 i am hying ...... 真是太敢谢谢了!!! 大家可能理解错了，i am hying ,please ........ ,这是壳里带的信息，这个不知道是GG还是MM的朋友大概是要表示这个意思吧，希望不要是我猜错了 2005-6-18 15:15 0
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 48 楼收藏,谢谢 2005-6-18 21:31 0
五哥雪币： 210 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 1 关注私信	五哥 49 楼晕了。。。看了一遍又一遍。。。精。。。 2005-6-19 04:17 0
Aifc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	Aifc 50 楼我现在还只能看热闹，过一个时期后争取能看懂一点。 2005-6-28 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

window

发帖

168

回帖

RANK

关注

私信

他的文章

hying 0.7x的脱壳过程 24644

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) ◀ 1 2 3 ▶
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 26 楼谁知道hying壳的PEID特征码啊！！！ 2005-3-20 14:44 0
loveaixing 雪币： 86 活跃值： (838) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 185 粉丝 1 关注私信	loveaixing 27 楼好呀,等了好久了!!! 2005-3-20 17:11 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 28 楼这种壳都能分析出来，正是狂人啊！不知道搂主分析这个软件用了多长时间？两个月？ 2005-3-20 19:54 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 29 楼用了一个礼拜比起hexer等一个通宵搞定的大牛来，真是让我无地自容啊。。。 2005-3-20 20:45 0
goldenegg 雪币： 216 活跃值： (370) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 30 楼一个礼拜也很牛了啊，我断断续续搞了两个星期themida了，现在还是没有搞定 2005-3-20 21:25 0
游上岸的鱼雪币： 207 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	游上岸的鱼 1 31 楼好好复杂头痛看的・・・・・・・・・・ 2005-3-20 23:33 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 32 楼最初由 window 发布用了一个礼拜比起hexer等一个通宵搞定的大牛来，真是让我无地自容啊。。。给我一个月我都搞不定那我不是要去跳楼 2005-3-21 02:54 0
loveaixing 雪币： 86 活跃值： (838) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 185 粉丝 1 关注私信	loveaixing 33 楼 ZwSetInformationThread还没搞明白! 那位大侠教教 2005-3-21 14:06 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 34 楼 ZwSetInformationThread 用这个函数可以将某个线程的调试端口设为0，使得Win32调试器无法再收到该线程的调试事件，使调试器无法再调试该线程。这个主要是针对VC++这样的ring3调试器的。我在这篇文章中的处理是直接跳过去,没有给它机会执行. 2005-3-21 17:00 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 35 楼强贴要留名 2005-3-21 22:29 0
nusic 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	nusic 36 楼 l2walker 呵呵是不 kanxue 老大 2005-3-22 00:21 0
loveaixing 雪币： 86 活跃值： (838) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 185 粉丝 1 关注私信	loveaixing 37 楼引用: -------------------------------------------------------------------------------- ZwSetInformationThread 用这个函数可以将某个线程的调试端口设为0，使得Win32调试器无法再收到该线程的调试事件，使调试器无法再调试该线程。这个主要是针对VC++这样的ring3调试器的。 -------------------------------------------------------------------------------- 我在这篇文章中的处理是直接跳过去,没有给它机会执行. 这一直在这一步过不去,改了,后面壳在解码的时候好像解的不完全,对一些处理没有完成,不知高手能不能写一篇详细的点的,一点一点分析,让我等菜鸟学学! 2005-3-22 12:13 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 38 楼调用过程是这样的 push arg1 push arg2 ... call ZwSetInformationThread 在第一个push的时候跳走,注意堆栈平衡就行了. 2005-3-22 13:55 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 39 楼值得学习！ 2005-3-24 12:29 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 40 楼郁闷哦,这几天脱一个DLL时, 用OD调试到入口后, 发现解出的代码和不用OD调试解出的代码不同也就是解出的很多代码是错的, 还好正常的代码修复后还可以正常运行 2005-4-16 07:18 0
nettao 雪币： 202 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nettao 41 楼很不错！！ 2005-4-16 08:37 0
东方弘雪币： 204 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 1 关注私信	东方弘 42 楼文章不错！楼主的话中话可以理解，挑明了就是了。老版本应该没什么大问题，只是不见Mr.hying表明态度。 2005-4-16 12:11 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 43 楼 i am hying ...... 真是太敢谢谢了!!! 2005-4-18 12:31 0
看不懂雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	看不懂 44 楼最初由 kimmal 发布 i am hying ...... 真是太敢谢谢了!!! 是真的吗? 2005-4-18 13:08 0
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 45 楼最初由看不懂发布是真的吗? 当然是假的. 2005-4-18 15:21 0
sadan 雪币： 212 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 252 粉丝 0 关注私信	sadan 1 46 楼上面这个才是真地~~ 2005-4-18 22:02 0
littlepotato 雪币： 1 活跃值： (344) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 158 粉丝 1 关注私信	littlepotato 47 楼最初由 kimmal 发布 i am hying ...... 真是太敢谢谢了!!! 大家可能理解错了，i am hying ,please ........ ,这是壳里带的信息，这个不知道是GG还是MM的朋友大概是要表示这个意思吧，希望不要是我猜错了 2005-6-18 15:15 0
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 48 楼收藏,谢谢 2005-6-18 21:31 0
五哥雪币： 210 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 1 关注私信	五哥 49 楼晕了。。。看了一遍又一遍。。。精。。。 2005-6-19 04:17 0
Aifc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 48 粉丝 0 关注私信	Aifc 50 楼我现在还只能看热闹，过一个时期后争取能看懂一点。 2005-6-28 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复