能力值:
( LV4,RANK:50 )
|
-
-
2 楼
分析虚拟指令,完全是体力活啊 ~膜拜LZ的毅力
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
看上去好像是1.0左右版本的vmp
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
落后了。我一直以为没有驱动壳。要么就自己写。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
话说 我Hook KiFaseSystemCall 想绕过 NtOpenProcess
还是被HP检测到了,但是 360 同样hook 的KFS却不提示
无解
|
能力值:
( LV3,RANK:20 )
|
-
-
6 楼
话说你用了几级跳转?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
这也叫分析?
|
能力值:
( LV3,RANK:20 )
|
-
-
8 楼
体力活。眼睛都看花了。点到为止。他这个混淆引擎可大可小。
补上一个完整点的指令对照吧。目前HProtect.sys的指令还没重新混淆。
00 1d 05 = XOR BYTE PTR [05],BYTE PTR [1d]
04 1f 07 = and [07],[1f]
06 0d = JMP ESI+[0d]
0f 1f 05 = SHR [05],[1f]
10 03 1d = mov [[1d]],[03]
13 1d 1b = MOV BYTE PTR [1b],BYTE PTR [1d]
19 14 0d = IMUL [0d],[14]
1c 02 1d = RORB [02],[1d]
1e d0 fd ff ff 0e = movd [0e],fffffdd0
1f 07 = not [07]
22 12 1d = SHL [1d],[12]
24 19 02 = mov [02],[19]
27 1a = not [1a]
29 18 04= ROL [18],04
2e 1d 1e = OR [1e],[1d]
2f 05 07 = movb [07],05
32 05 05 = MOV [05],[[05]]
33 15 08 0c = MOVW [0c],0815
39 1e 04 = PUSH [1e] ,POPFD
3b = 检查堆栈指针是否越界
41 18 03 = ROL [03],[18]
4d 03 = MOV [03],EBX
52 05 07 = add byte ptr [05],byte ptr [07]
56 02 = push [02],sub ebp,4
59 1e = POPFD [1e]
62 50 = mov esp,ebp 虚拟机结束 = push esi+1,push xxx
popad
popfd
ret xxx ret做为call 返回到esi + 1
特征码:8B E5 61 9D C2
6a 15 1a = add DWORD PTR [1a], DWROD PTR [15]
6b 10 = pop [10] ; add ebp,4
6c 11 09 = XOR DWORD PTR [09],DWORD PTR [11]
74 01 0d = movb [01],[0d]
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
呵呵 表示支持一下
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
楼主的毅力很强大
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
ntopenprocess里面还有objecthook....ruk查不出来。
过了后,od附加进去,会被发现,游戏马上退出。还没发现线索。
|