一个测试样品，正在写的壳的思路。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

一个测试样品，正在写的壳的思路。

发表于: 2005-3-25 08:34 6361

一个测试样品，正在写的壳的思路。

kongfoo

2005-3-25 08:34

6361

新壳思路：
1)一反常规，把要加壳的程序分折开来，做为壳的附加数据。这样脱壳就要重建PE。
2)深度隐藏。使用驱动实现进程隐藏。

目前只完成了初步的框架，这个测试用的EXE就当一个unpackme放上来让大家玩玩。附件:Protected_test.rar

XP/VPC-win2K下测试过。

[课程]Linux pwn 探索篇！

收藏・1

免费・0

支持

最新回复 (22)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼支持兄弟 2005-3-25 09:25 0
cd37ycs 雪币： 176 活跃值： (1450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 411 粉丝 0 关注私信	cd37ycs 3 楼 2003下立即重启了。 2005-3-25 09:33 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 4 楼不支持驱动加壳，稳定和兼容性大大降低 2005-3-25 09:39 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 5 楼支持！个人以为实现第二点太容易，却没有多大价值。如果你能对应用程序实现你的第一个目标，那么你的壳就堪称壳界中的清风扬了！重定位将是很难逾越的障碍。 00410000 6A 00 PUSH 0 00410002 68 1B104100 PUSH Protecte.0041101B ; ASCII "little masm program." 00410007 68 00104100 PUSH Protecte.00411000 ; ASCII "This is a test for Matrix." 0041000C 6A 00 PUSH 0 0041000E E8 07000000 CALL Protecte.0041001A ; JMP to user32.MessageBoxA 00410013 6A 01 PUSH 1 00410015 E8 06000000 CALL Protecte.00410020 ; JMP to kernel32.ExitProcess 0041001A -FF25 00003C00 JMP DWORD PTR DS:[3C0000] ; user32.MessageBoxA 00410020 -FF25 04003C00 JMP DWORD PTR DS:[3C0004] ; kernel32.ExitProcess 2005-3-25 10:11 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 6 楼支持。 2005-3-25 10:14 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼运行了这个壳后系统内新开的其他进程用LordPE看不见了但是IceSword可以看见 2005-3-25 10:15 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 8 楼重定位确实很困难，我的做法是把delphi写的Loader写在几个新增节中，因为delphi的代码编译后默认就有重定位，所以对Loader的重定位就好处理了，而不会影响到目标应用程序 2005-3-25 10:18 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 9 楼呵呵，aspr和EXECryptor对Delphi的Loader都挺照顾的。 2005-3-25 10:28 0
kongfoo 雪币： 371 活跃值： (790) 能力值： ( LV12，RANK：570 ) 在线值：发帖 28 回帖 161 粉丝 1 关注私信	kongfoo 14 10 楼谢谢各位支持加上驱动是出于学习的需要。要做成通用加壳器还需要很长时间，慢慢磨，嘻嘻 2005-3-25 11:33 0
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 11 楼最初由 kongfoo 发布谢谢各位支持加上驱动是出于学习的需要。要做成通用加壳器还需要很长时间，慢慢磨，嘻嘻兄弟，你怎么不上线呢？ 2005-3-25 11:51 0
pll621 雪币： 260 活跃值： (86) 能力值： (RANK：10 ) 在线值：发帖 10 回帖 157 粉丝 3 关注私信	pll621 12 楼稳定性是第一点...如果你要走商业道路的话 2005-3-25 12:43 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 13 楼稳定性是第一位的，免费产品亦如此 2005-3-25 12:47 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 14 楼这个UNPACKME好象没什么难度。也许还是碰巧 2005-3-25 13:04 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 15 楼现在用驱动是大势所驱 2005-3-25 13:16 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 16 楼整个一病毒：） 2005-3-25 13:39 0
goldenegg 雪币： 226 活跃值： (330) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 17 楼使用驱动实现进程隐藏?? 这是什么东西啊，也太花样了，不如使用驱动实现机器死掉算了．这样的壳就算写成了也是病毒窝 2005-3-25 13:43 0
二点雪币： 266 活跃值： (191) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 210 粉丝 1 关注私信	二点 1 18 楼进程隐藏还没骗不过IceSword，任务管理器也可以看到，顶不上一个ring3 的hide process：） 2005-3-25 13:47 0
kongfoo 雪币： 371 活跃值： (790) 能力值： ( LV12，RANK：570 ) 在线值：发帖 28 回帖 161 粉丝 1 关注私信	kongfoo 14 19 楼 hmimys兄弟，不上线才能写出东东呀进程隐藏是有一点效果的，任务管理器看到的只是父进程。说白了就是双进程伪装成单进程而已。 IceSword是绝世好剑，这点障眼法当然只是儿戏，呵呵。我也认为稳定性是第一。 2005-3-25 14:08 0
二点雪币： 266 活跃值： (191) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 210 粉丝 1 关注私信	二点 1 20 楼最初由 kongfoo 发布我也认为稳定性是第一。........ 同意～支持兄弟・ 2005-3-25 14:26 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 21 楼支持~ 2005-3-25 19:12 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 22 楼支持一下 2005-3-25 20:04 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 23 楼支持支持～驱动壳。。有点意思 2005-3-25 21:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kongfoo

发帖

161

回帖

570

RANK

关注

私信

他的文章

[原创]补区段工具 15502
OD plugin-DelphiHelper test 31336

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼支持兄弟 2005-3-25 09:25 0
cd37ycs 雪币： 176 活跃值： (1450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 411 粉丝 0 关注私信	cd37ycs 3 楼 2003下立即重启了。 2005-3-25 09:33 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 4 楼不支持驱动加壳，稳定和兼容性大大降低 2005-3-25 09:39 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 5 楼支持！个人以为实现第二点太容易，却没有多大价值。如果你能对应用程序实现你的第一个目标，那么你的壳就堪称壳界中的清风扬了！重定位将是很难逾越的障碍。 00410000 6A 00 PUSH 0 00410002 68 1B104100 PUSH Protecte.0041101B ; ASCII "little masm program." 00410007 68 00104100 PUSH Protecte.00411000 ; ASCII "This is a test for Matrix." 0041000C 6A 00 PUSH 0 0041000E E8 07000000 CALL Protecte.0041001A ; JMP to user32.MessageBoxA 00410013 6A 01 PUSH 1 00410015 E8 06000000 CALL Protecte.00410020 ; JMP to kernel32.ExitProcess 0041001A -FF25 00003C00 JMP DWORD PTR DS:[3C0000] ; user32.MessageBoxA 00410020 -FF25 04003C00 JMP DWORD PTR DS:[3C0004] ; kernel32.ExitProcess 2005-3-25 10:11 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 7 关注私信	netsowell 11 6 楼支持。 2005-3-25 10:14 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼运行了这个壳后系统内新开的其他进程用LordPE看不见了但是IceSword可以看见 2005-3-25 10:15 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 8 楼重定位确实很困难，我的做法是把delphi写的Loader写在几个新增节中，因为delphi的代码编译后默认就有重定位，所以对Loader的重定位就好处理了，而不会影响到目标应用程序 2005-3-25 10:18 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 9 楼呵呵，aspr和EXECryptor对Delphi的Loader都挺照顾的。 2005-3-25 10:28 0
kongfoo 雪币： 371 活跃值： (790) 能力值： ( LV12，RANK：570 ) 在线值：发帖 28 回帖 161 粉丝 1 关注私信	kongfoo 14 10 楼谢谢各位支持加上驱动是出于学习的需要。要做成通用加壳器还需要很长时间，慢慢磨，嘻嘻 2005-3-25 11:33 0
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 11 楼最初由 kongfoo 发布谢谢各位支持加上驱动是出于学习的需要。要做成通用加壳器还需要很长时间，慢慢磨，嘻嘻兄弟，你怎么不上线呢？ 2005-3-25 11:51 0
pll621 雪币： 260 活跃值： (86) 能力值： (RANK：10 ) 在线值：发帖 10 回帖 157 粉丝 3 关注私信	pll621 12 楼稳定性是第一点...如果你要走商业道路的话 2005-3-25 12:43 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 13 楼稳定性是第一位的，免费产品亦如此 2005-3-25 12:47 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 14 楼这个UNPACKME好象没什么难度。也许还是碰巧 2005-3-25 13:04 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 15 楼现在用驱动是大势所驱 2005-3-25 13:16 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 16 楼整个一病毒：） 2005-3-25 13:39 0
goldenegg 雪币： 226 活跃值： (330) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 17 楼使用驱动实现进程隐藏?? 这是什么东西啊，也太花样了，不如使用驱动实现机器死掉算了．这样的壳就算写成了也是病毒窝 2005-3-25 13:43 0
二点雪币： 266 活跃值： (191) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 210 粉丝 1 关注私信	二点 1 18 楼进程隐藏还没骗不过IceSword，任务管理器也可以看到，顶不上一个ring3 的hide process：） 2005-3-25 13:47 0
kongfoo 雪币： 371 活跃值： (790) 能力值： ( LV12，RANK：570 ) 在线值：发帖 28 回帖 161 粉丝 1 关注私信	kongfoo 14 19 楼 hmimys兄弟，不上线才能写出东东呀进程隐藏是有一点效果的，任务管理器看到的只是父进程。说白了就是双进程伪装成单进程而已。 IceSword是绝世好剑，这点障眼法当然只是儿戏，呵呵。我也认为稳定性是第一。 2005-3-25 14:08 0
二点雪币： 266 活跃值： (191) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 210 粉丝 1 关注私信	二点 1 20 楼最初由 kongfoo 发布我也认为稳定性是第一。........ 同意～支持兄弟・ 2005-3-25 14:26 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 21 楼支持~ 2005-3-25 19:12 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 22 楼支持一下 2005-3-25 20:04 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 23 楼支持支持～驱动壳。。有点意思 2005-3-25 21:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复