首页
社区
课程
招聘
[原创]突破技术封锁,JIT层脱壳浅析
2011-12-10 01:04 68609

[原创]突破技术封锁,JIT层脱壳浅析

2011-12-10 01:04
68609
收藏
点赞5
打赏
分享
最新回复 (63)
雪    币: 122
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
chenxiaolu 1 2011-12-13 15:21
26
0
非常感谢你的补充,要是能写个脱壳机给我们小菜玩玩就更好了。
雪    币: 210
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
breezer 2011-12-14 09:09
27
0
我还不会手动脱壳呢,脱壳机还是管 crackdung 大牛要吧

你的教程里面还有一点没说清楚,这里使用 tiny method 是因为转储出来的代码长度 <64 字节,并且不带参数,否则就要用 fat method 了
雪    币: 231
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
丞辰网络 2011-12-14 11:17
28
0
收藏了,估计很快就要用到
雪    币: 101
活跃值: (1215)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cd37ycs 2011-12-17 11:56
29
0
我们只需要将button_click1方法的RAV重新指向到这个新的解密后的方法就行了(.text2的RAV是14000)。但是这里我们一定要注意一个很大的问题,就是Tiny Method 和 Fat Method,由于计算Fat Method的数据有点多,我们还是当作Tiny Method来处理,经过IL代码的大小计算后得出的Tiny Method头应该是CA,因此我们将RAV 14006处修改为CA,(限于篇幅,具体计算方法可以Google之)

这部分内容是关键。感谢楼上各位讲解。
雪    币: 2450
活跃值: (1548)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wwtian 2011-12-20 08:59
30
0
谢谢楼主,这对我们刚入门的很有帮助,希望以后多出一些基础的东西,来带动我们这些菜鸟。谢谢!
雪    币: 2241
活跃值: (169)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
txstc 4 2011-12-21 21:41
31
0
重拾对donet的信心啊~
雪    币: 3605
活跃值: (3628)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Mxixihaha 2011-12-23 09:19
32
0
如果方法也加密 那这样似乎就没有办法处理到位啦

像楼主这个 Button_xxx 都没有加密还可以

但是如果是在启动的时候验证注册呢?

方法 加密成 IIOOO111 之类的话...
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
DONET 2011-12-23 09:50
33
0
楼上不能这么说呀,Reactor最难的就是NecroBit加密啊,像IIOOO111 这种混淆还能难得住一般的破解者么。楼主提供的方法直接解决了最难的地方,我想这种简单的IIOOO111 混淆提不提也无所谓,能搞定NecroBit加密的人,什么启动验证只是秒杀而已。

非常感谢楼主,能将技术分享到这种程度的人没有几个。网上根本就找不到第二篇解密 Reactor 4.4版本的文章(我只找到Reactor4.0的,还测试成功不了)但是楼主的文章经过测试时可以成功的,而且要简单很多。
雪    币: 3605
活跃值: (3628)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Mxixihaha 2011-12-23 12:20
34
0
可能您没明白我说的意思,您仔细看看楼主的处理流程,方法和代码同时加密的情况下.

是需要将解密数据重新加入原程序 也就是说 在转换 Button_Click事件那里 直接指向解密的代码

那如果在启动的时候验证.比如 有多个方法   (楼主的示例只有一个 单击事件,混淆不混淆都无所谓,反正只有那一个,   但一般软件会有多个函数)

_Load()  -> 名称混淆成 IIOOIIOOOOO
_Reg()    -> 名称混淆成 OOI1II1OO1
_Run()    ..............

如果要像楼主那样 把 正确的解密代码 填入到 正确 的 方法下 有一个找偏移的转换过程.   岂不是无法知道哪一个方法 对应 哪一个代码?
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
DONET 2011-12-23 13:56
35
0
的确如你所说,楼主的文章是不适合实战破解的。但是技术是死的,人是活的。显然从楼主的言语中可以委婉的看出:基于此方法的脱壳机已经有了,只是没有分享给大家而已。在没有读到楼主的文章前,我根本连还原Recator的IL代码的机会都没有。拜读后,我就开始自己研究HOOK JIT,自己写程序来尝试完整脱壳。

所以我觉得楼主的文章比直接提供一个脱壳机要好的多。至少我们还可以利用文章来进一步学习研究HOOK JIT知识。如果我们仅仅有一个脱壳机,连起原理都不知道,那才叫悲哀啊。
Reactor可能随时更新,脱壳机也可能随时无效,但是如果我们学习了更深层次的知识后,我相信以不变应万变是可以做到的。

我觉得学习破解,并不是为了破解软件而破解,从破解的过程中不断进步,不断完善,才是最重要的。
雪    币: 79
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rootkie 2011-12-23 14:34
36
0
试试这个吧:
0xd4d's de4dot
https://github.com/0xd4d/de4dot/downloads
雪    币: 3605
活跃值: (3628)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Mxixihaha 2011-12-23 15:36
37
0
我觉得说那些等于没说 开个玩笑,说得有点像拍马屁一样.楼主的文章的确功不可没 关键是现在讨论如何升级性的处理一下所有代码  不可能看完文章就一直想着 有这些就够了,毕竟学习是要站在牛人的肩膀上动脑筋的.

如果说自动dump会不会是   枚举方法名  然后 一对一的处理代码?
雪    币: 123
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wawt 2011-12-23 15:58
38
0
太强了!值得学习下!
雪    币: 66
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chenjacker 2011-12-27 12:55
39
0
楼主可以发布一下视频吗,
雪    币: 66
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chenjacker 2011-12-27 13:06
40
0
我的测试也没有通过,求视频教程。。。。这编可以算的上NET年度最好的一篇文章
雪    币: 101
活跃值: (1215)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cd37ycs 2012-1-27 16:56
41
0
仅仅勾选NecroBit选项

这单一的方式保护,bigmouse有专门的脱壳机对付。
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yodamaster 2012-2-8 10:39
42
0
感谢分享。。。
雪    币: 419
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
goding 2012-2-11 13:21
43
0
谢谢分享,学习一下
雪    币: 131
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yuyuzhong 2012-2-15 00:59
44
0
请问下你的02 7B 到 20 2A是从哪儿获得来的?
小菜求帮助
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hidden米 2012-2-15 18:35
45
0
必须mark一下下
雪    币: 454
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
huangqiang 2012-2-15 19:31
46
0
学习了啊,不错啊
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
才情岁月 2012-2-16 15:26
47
0
学习了,谢谢楼主!
雪    币: 211
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
babyrobin 2012-2-16 15:43
48
0
.NET要是OD加载不了的情况下 又该如何处理,网上教程几乎没有- -!有的也没看懂,悲剧的事
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
herubber 2012-2-24 09:21
49
0
謝謝分享,頂願意分享經驗的人
雪    币: 90
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
误伤友军 2012-3-3 00:31
50
0
为什么我的点击插件ILLY,不是RUN/STOP,而是INIT ILLY,是不是因为没有搭建Pure DOTNET的原因?
游客
登录 | 注册 方可回帖
返回