-
-
真实的谎言 -- 让查壳工具下岗
-
发表于: 2005-4-18 22:02
-
本文介绍怎样让查壳工具查壳失效!
伪装 Microsoft Visual C++ 6.0 汇编代码:
============================
伪装代码部分:
============================
push ebp
mov ebp,esp
push -1
push 11111111
push 22222222
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
sub esp,58
push ebx
push esi
push edi
jmp XXXXXXXX '执行到程序的原有OEP
============================
实例操作部分:
============================
比如:
1.用UPX对NOTEPAD加密后,PEiD这时检测为 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
2.再用LordPE查看程序加密后的入口点为 000115F0 ,映像基址为 01000000 ,记录下000115F0
3.然后用ZeroAdd给加密后的程序增加一个区段,用LordPE编辑新区段启动位置,这时新区段偏移量为00013000 ,修改入口点为00013000 保存。
4.最后用Ollydbg载入修改后的程序,载入如下:
01013000 > 0000 add byte ptr ds:[eax],al //入口点为空白数据,双击修改为以上的汇编
01013002 0000 add byte ptr ds:[eax],al //代码保存即可!
01013004 0000 add byte ptr ds:[eax],al //注意,最后一行要跳回“JMP”原始的OEP!
01013006 0000 add byte ptr ds:[eax],al //OEP计算方法:000115F0+01000000=010115F0
01013008 0000 add byte ptr ds:[eax],al
0101300A 0000 add byte ptr ds:[eax],al
0101300C 0000 add byte ptr ds:[eax],al
0101300E 0000 add byte ptr ds:[eax],al
01013010 0000 add byte ptr ds:[eax],al
01013012 0000 add byte ptr ds:[eax],al
01013014 0000 add byte ptr ds:[eax],al
01013016 0000 add byte ptr ds:[eax],al
5.运行!查壳!PEiD这时检测为 Microsoft Visual C++ 6.0 ,呵呵!
========================================
PaCkEd? By KuNgBiM
========================================
打包实例:
附件:KuNgBiM.rar
伪装 Microsoft Visual C++ 6.0 汇编代码:
============================
伪装代码部分:
============================
push ebp
mov ebp,esp
push -1
push 11111111
push 22222222
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
sub esp,58
push ebx
push esi
push edi
jmp XXXXXXXX '执行到程序的原有OEP
============================
实例操作部分:
============================
比如:
1.用UPX对NOTEPAD加密后,PEiD这时检测为 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
2.再用LordPE查看程序加密后的入口点为 000115F0 ,映像基址为 01000000 ,记录下000115F0
3.然后用ZeroAdd给加密后的程序增加一个区段,用LordPE编辑新区段启动位置,这时新区段偏移量为00013000 ,修改入口点为00013000 保存。
4.最后用Ollydbg载入修改后的程序,载入如下:
01013000 > 0000 add byte ptr ds:[eax],al //入口点为空白数据,双击修改为以上的汇编
01013002 0000 add byte ptr ds:[eax],al //代码保存即可!
01013004 0000 add byte ptr ds:[eax],al //注意,最后一行要跳回“JMP”原始的OEP!
01013006 0000 add byte ptr ds:[eax],al //OEP计算方法:000115F0+01000000=010115F0
01013008 0000 add byte ptr ds:[eax],al
0101300A 0000 add byte ptr ds:[eax],al
0101300C 0000 add byte ptr ds:[eax],al
0101300E 0000 add byte ptr ds:[eax],al
01013010 0000 add byte ptr ds:[eax],al
01013012 0000 add byte ptr ds:[eax],al
01013014 0000 add byte ptr ds:[eax],al
01013016 0000 add byte ptr ds:[eax],al
5.运行!查壳!PEiD这时检测为 Microsoft Visual C++ 6.0 ,呵呵!
========================================
PaCkEd? By KuNgBiM ========================================
打包实例:
附件:KuNgBiM.rar
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
这个......现在已经不太用查壳工具了
 不过还是支持下!!
|
|
|
|
|
|
|
|
|
|
|
|
谁来制作一个 能让程序伪装的工具 给偶等菜鸟
谢谢了 
|
|
|
最初由 qq7119 发布 这样的工具好象有.!!! 
|
|
|
|
|
|
|
|
|
|
|
|
最初由 simonzh2000 发布 assume fs:nothing ;App entrance, with fake VC header ;) push ebp mov ebp, esp push 0FFFFFFFF push 00408480 ;those lines are VC head, means nothing push 405534 ;SEH Handle that will be rewrited by the Packer. SehHandleAddr equ $-4 ;indicates the SEH Handle 改下SehHandleAddr为实际地址就可以了。。 
|
|
|
最初由 springkang[DFCG 发布 稍安勿燥! 伪装壳也是壳啊。
|
|
|
|
|
|
|
|
|
|
|
|
这个只能伪装 呵呵
|
