首页
社区
课程
招聘
[原创]突破技术封锁,JIT层脱壳浅析
发表于: 2011-12-10 01:04 69856

[原创]突破技术封锁,JIT层脱壳浅析

2011-12-10 01:04
69856
收藏
免费 6
支持
分享
最新回复 (63)
雪    币: 122
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
26
非常感谢你的补充,要是能写个脱壳机给我们小菜玩玩就更好了。
2011-12-13 15:21
0
雪    币: 210
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
我还不会手动脱壳呢,脱壳机还是管 crackdung 大牛要吧

你的教程里面还有一点没说清楚,这里使用 tiny method 是因为转储出来的代码长度 <64 字节,并且不带参数,否则就要用 fat method 了
2011-12-14 09:09
0
雪    币: 231
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
收藏了,估计很快就要用到
2011-12-14 11:17
0
雪    币: 198
活跃值: (1575)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
我们只需要将button_click1方法的RAV重新指向到这个新的解密后的方法就行了(.text2的RAV是14000)。但是这里我们一定要注意一个很大的问题,就是Tiny Method 和 Fat Method,由于计算Fat Method的数据有点多,我们还是当作Tiny Method来处理,经过IL代码的大小计算后得出的Tiny Method头应该是CA,因此我们将RAV 14006处修改为CA,(限于篇幅,具体计算方法可以Google之)

这部分内容是关键。感谢楼上各位讲解。
2011-12-17 11:56
0
雪    币: 3455
活跃值: (2509)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
谢谢楼主,这对我们刚入门的很有帮助,希望以后多出一些基础的东西,来带动我们这些菜鸟。谢谢!
2011-12-20 08:59
0
雪    币: 2242
活跃值: (169)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
31
重拾对donet的信心啊~
2011-12-21 21:41
0
雪    币: 4349
活跃值: (4333)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
如果方法也加密 那这样似乎就没有办法处理到位啦

像楼主这个 Button_xxx 都没有加密还可以

但是如果是在启动的时候验证注册呢?

方法 加密成 IIOOO111 之类的话...
2011-12-23 09:19
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
楼上不能这么说呀,Reactor最难的就是NecroBit加密啊,像IIOOO111 这种混淆还能难得住一般的破解者么。楼主提供的方法直接解决了最难的地方,我想这种简单的IIOOO111 混淆提不提也无所谓,能搞定NecroBit加密的人,什么启动验证只是秒杀而已。

非常感谢楼主,能将技术分享到这种程度的人没有几个。网上根本就找不到第二篇解密 Reactor 4.4版本的文章(我只找到Reactor4.0的,还测试成功不了)但是楼主的文章经过测试时可以成功的,而且要简单很多。
2011-12-23 09:50
0
雪    币: 4349
活跃值: (4333)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
可能您没明白我说的意思,您仔细看看楼主的处理流程,方法和代码同时加密的情况下.

是需要将解密数据重新加入原程序 也就是说 在转换 Button_Click事件那里 直接指向解密的代码

那如果在启动的时候验证.比如 有多个方法   (楼主的示例只有一个 单击事件,混淆不混淆都无所谓,反正只有那一个,   但一般软件会有多个函数)

_Load()  -> 名称混淆成 IIOOIIOOOOO
_Reg()    -> 名称混淆成 OOI1II1OO1
_Run()    ..............

如果要像楼主那样 把 正确的解密代码 填入到 正确 的 方法下 有一个找偏移的转换过程.   岂不是无法知道哪一个方法 对应 哪一个代码?
2011-12-23 12:20
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
的确如你所说,楼主的文章是不适合实战破解的。但是技术是死的,人是活的。显然从楼主的言语中可以委婉的看出:基于此方法的脱壳机已经有了,只是没有分享给大家而已。在没有读到楼主的文章前,我根本连还原Recator的IL代码的机会都没有。拜读后,我就开始自己研究HOOK JIT,自己写程序来尝试完整脱壳。

所以我觉得楼主的文章比直接提供一个脱壳机要好的多。至少我们还可以利用文章来进一步学习研究HOOK JIT知识。如果我们仅仅有一个脱壳机,连起原理都不知道,那才叫悲哀啊。
Reactor可能随时更新,脱壳机也可能随时无效,但是如果我们学习了更深层次的知识后,我相信以不变应万变是可以做到的。

我觉得学习破解,并不是为了破解软件而破解,从破解的过程中不断进步,不断完善,才是最重要的。
2011-12-23 13:56
0
雪    币: 79
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
试试这个吧:
0xd4d's de4dot
https://github.com/0xd4d/de4dot/downloads
2011-12-23 14:34
0
雪    币: 4349
活跃值: (4333)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
我觉得说那些等于没说 开个玩笑,说得有点像拍马屁一样.楼主的文章的确功不可没 关键是现在讨论如何升级性的处理一下所有代码  不可能看完文章就一直想着 有这些就够了,毕竟学习是要站在牛人的肩膀上动脑筋的.

如果说自动dump会不会是   枚举方法名  然后 一对一的处理代码?
2011-12-23 15:36
0
雪    币: 123
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
太强了!值得学习下!
2011-12-23 15:58
0
雪    币: 66
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
楼主可以发布一下视频吗,
2011-12-27 12:55
0
雪    币: 66
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
我的测试也没有通过,求视频教程。。。。这编可以算的上NET年度最好的一篇文章
2011-12-27 13:06
0
雪    币: 198
活跃值: (1575)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
仅仅勾选NecroBit选项

这单一的方式保护,bigmouse有专门的脱壳机对付。
2012-1-27 16:56
0
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
感谢分享。。。
2012-2-8 10:39
0
雪    币: 419
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
谢谢分享,学习一下
2012-2-11 13:21
0
雪    币: 131
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
请问下你的02 7B 到 20 2A是从哪儿获得来的?
小菜求帮助
2012-2-15 00:59
0
雪    币: 58
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
必须mark一下下
2012-2-15 18:35
0
雪    币: 454
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
学习了啊,不错啊
2012-2-15 19:31
0
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
学习了,谢谢楼主!
2012-2-16 15:26
0
雪    币: 211
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
.NET要是OD加载不了的情况下 又该如何处理,网上教程几乎没有- -!有的也没看懂,悲剧的事
2012-2-16 15:43
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
49
謝謝分享,頂願意分享經驗的人
2012-2-24 09:21
0
雪    币: 90
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
为什么我的点击插件ILLY,不是RUN/STOP,而是INIT ILLY,是不是因为没有搭建Pure DOTNET的原因?
2012-3-3 00:31
0
游客
登录 | 注册 方可回帖
返回
//