[原创]新壳测试 0.2 (大提速)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]新壳测试 0.2 (大提速)

发表于: 2005-7-5 11:28 13047

[原创]新壳测试 0.2 (大提速)

random

2005-7-5 11:28

13047

查看主题内容

收藏・0

免费・0

支持

最新回复 (53) ◀ 1 2 3 ▶
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 26 楼把你的程序发给我试试，tianxianbaby@126.com 2005-7-9 19:39 0
dxcana 雪币： 153 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 34 粉丝 0 关注私信	dxcana 27 楼压缩时出错 XP2500+ 512,2003 With SP1 5秒左右，提示 EXERefactor 0.1.exe - 应用程序错误 --------------------------- "0x007ae48a" 指令引用的 "0x47a1a576" 内存。该内存不能为 "written"。要终止程序，请单击“确定”。要调试程序，请单击“取消”。 --------------------------- 2005-7-10 00:59 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 28 楼最初由 fnp902003 发布汗，这个加密我的一个3.23M的程序后居然那个程序变成了14.2M之大~ 可怕~ 呵呵，可能楼主侧重于加密了，压缩方面还得加强。 2005-7-11 10:44 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 29 楼关键是太慢了,越大的文件越慢. 2005-7-11 11:47 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 30 楼正在优化，这两天发个新版本。 wekabc能发个很慢的exe给我吗. 是加壳的时候很慢还是运行的时候很慢？ tianxianbaby@126.com 2005-7-11 11:52 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 31 楼启动慢,十几秒没反映,期间CPU100%,文件大了点就先不传了,等新版. 2005-7-11 13:03 0
kokocool 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	kokocool 32 楼 0.2快了很多,再快点. 2005-7-12 21:55 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 33 楼附件:packed.rar 大哥，98记事本加壳后无法运行～ 2005-7-13 10:54 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 34 楼最初由 cater 发布附件:packed.rar 大哥，98记事本加壳后无法运行～问题已经找到。我的程序中处理字符串的函数错误。 98记事本把所有字符串都当成ANSI字符串,你要测试的话用2000或XP的记事本. 2005-7-13 12:15 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 35 楼今天看了一下这个壳,random是以前的kongfoo吗? 2005-7-13 19:09 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 36 楼最初由 softworm 发布今天看了一下这个壳,random是以前的kongfoo吗? 冤枉我不认识他，他也不认识我。 2005-7-13 19:24 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 37 楼最初由 random 发布问题已经找到。我的程序中处理字符串的函数错误。 98记事本把所有字符串都当成ANSI字符串,你要测试的话用2000或XP的记事本. 汗～这样也行啊？ 2005-7-13 19:30 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 38 楼最初由 cater 发布汗～这样也行啊？ cater , 已经修改了，你再试试。难道98notpad好脱一点吗 2005-7-13 19:34 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 39 楼 xpsp2测试通过，加载速度变快了．呵呵　，脱壳真的好累，哎．．．．．． 2005-7-14 15:55 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 40 楼最初由 random 发布 cater , 已经修改了，你再试试。难道98notpad好脱一点吗我汉的原因是没想到，原来以 ANsi 码显示的文字也会影响加克的～这个壳好难脱阿～ 2005-7-14 22:06 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 41 楼快多了．　　　　　　　　　　　 2005-7-15 09:27 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 42 楼提点建议，感觉还是把加密后的原程序做到单独的数据段里好，直接当附加数据会被侦测捆绑的工具报有木马的。采用的方式好像牺牲了兼容性，会造成一些程序出问题。外壳的代码还是压缩一下的好，并应该安插校验，现在这样可以直接修改，试用的限制只要改2个字就可以解除。不应采用固定格式，一旦有人加了病毒，我想那些杀毒软件会毫不忧郁的把壳列成病毒。 2005-7-15 20:48 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 43 楼谢谢q3 watcher意见. 1感觉还是把加密后的原程序做到单独的数据段里好，直接当附加数据会被侦测捆绑的工具报有木马的。这里有点不明白。单独数据段和附加数据不是一回事吗？ 2.外壳暂时没加什么校验，以后加上。试用的限制只要改2个字，可以说明一下在什么地方吗？ 3.不应采用固定格式这个是什么意思？ 4.采用的方式好像牺牲了兼容性，会造成一些程序出问题。这里能说的更多一点吗？ 2005-7-15 23:40 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 44 楼 053A6A7D \|> 68 04083B05 \|PUSH EXERe.053B0804 // 壳保存的密文( .orpc ) 053A6A82 \|. E8 39010000 \|CALL EXERe.053A6BC0 // 确定长度 053A6A87 \|. 50 \|PUSH EAX 053A6A88 \|. 8D85 F0FDFFFF \|LEA EAX,DWORD PTR SS:[EBP-210] 053A6A8E \|. 68 E0073B05 \|PUSH EXERe.053B07E0 // 壳保存的密文( page ??????? ) 053A6A93 \|. 50 \|PUSH EAX // buffer2 053A6A94 \|. E8 63020000 \|CALL EXERe.053A6CFC 这里是不是有个 Bug, 53A6A8E 是否是 Push 53B0804 2005-7-16 01:52 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 45 楼那些捆绑数据检测器只是校验PE格式，发现附加数据就报警，对于正常的区段没事，其实只要计算一下大小把最后的大小改了就行了。改的两个字一个是JE，对应NAG，另一个好象是JLE，对应退出，全部JMP就行了。不采用固定格式是指，应该加密壳的代码用的时候再解开和压缩一下意思差不多。至于兼容问题，是我看了处理方式自己觉得的，没什么依据，您还是等老大的分析吧。我不懂技术只会灌水，说错了什么就全当是扯蛋了。 2005-7-16 06:58 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 46 楼能不能具体说说改那里? 2005-7-18 09:15 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 47 楼顶，说说找的方法也行啊，我试着改，结果不能运行了。 2005-7-20 14:40 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 48 楼改了可别用于非法用途哦 2005-7-20 14:52 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 49 楼何必那么认真那?休息,休息一下. 2005-7-20 19:08 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 50 楼最初由 simonzh2000 发布 053A6A7D \|> 68 04083B05 \|PUSH EXERe.053B0804 // 壳保存的密文( .orpc ) 053A6A82 \|. E8 39010000 \|CALL EXERe.053A6BC0 // 确定长度 053A6A87 \|. 50 \|PUSH EAX 053A6A88 \|. 8D85 F0FDFFFF \|LEA EAX,DWORD PTR SS:[EBP-210] 053A6A8E \|. 68 E0073B05 \|PUSH EXERe.053B07E0 // 壳保存的密文( page ??????? ) ........ 楼主还没回答啊？ 2005-7-20 20:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

random

发帖

142

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) ◀ 1 2 3 ▶
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 26 楼把你的程序发给我试试，tianxianbaby@126.com 2005-7-9 19:39 0
dxcana 雪币： 153 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 34 粉丝 0 关注私信	dxcana 27 楼压缩时出错 XP2500+ 512,2003 With SP1 5秒左右，提示 EXERefactor 0.1.exe - 应用程序错误 --------------------------- "0x007ae48a" 指令引用的 "0x47a1a576" 内存。该内存不能为 "written"。要终止程序，请单击“确定”。要调试程序，请单击“取消”。 --------------------------- 2005-7-10 00:59 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 28 楼最初由 fnp902003 发布汗，这个加密我的一个3.23M的程序后居然那个程序变成了14.2M之大~ 可怕~ 呵呵，可能楼主侧重于加密了，压缩方面还得加强。 2005-7-11 10:44 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 29 楼关键是太慢了,越大的文件越慢. 2005-7-11 11:47 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 30 楼正在优化，这两天发个新版本。 wekabc能发个很慢的exe给我吗. 是加壳的时候很慢还是运行的时候很慢？ tianxianbaby@126.com 2005-7-11 11:52 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 31 楼启动慢,十几秒没反映,期间CPU100%,文件大了点就先不传了,等新版. 2005-7-11 13:03 0
kokocool 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	kokocool 32 楼 0.2快了很多,再快点. 2005-7-12 21:55 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 33 楼附件:packed.rar 大哥，98记事本加壳后无法运行～ 2005-7-13 10:54 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 34 楼最初由 cater 发布附件:packed.rar 大哥，98记事本加壳后无法运行～问题已经找到。我的程序中处理字符串的函数错误。 98记事本把所有字符串都当成ANSI字符串,你要测试的话用2000或XP的记事本. 2005-7-13 12:15 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 35 楼今天看了一下这个壳,random是以前的kongfoo吗? 2005-7-13 19:09 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 36 楼最初由 softworm 发布今天看了一下这个壳,random是以前的kongfoo吗? 冤枉我不认识他，他也不认识我。 2005-7-13 19:24 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 37 楼最初由 random 发布问题已经找到。我的程序中处理字符串的函数错误。 98记事本把所有字符串都当成ANSI字符串,你要测试的话用2000或XP的记事本. 汗～这样也行啊？ 2005-7-13 19:30 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 38 楼最初由 cater 发布汗～这样也行啊？ cater , 已经修改了，你再试试。难道98notpad好脱一点吗 2005-7-13 19:34 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 39 楼 xpsp2测试通过，加载速度变快了．呵呵　，脱壳真的好累，哎．．．．．． 2005-7-14 15:55 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 40 楼最初由 random 发布 cater , 已经修改了，你再试试。难道98notpad好脱一点吗我汉的原因是没想到，原来以 ANsi 码显示的文字也会影响加克的～这个壳好难脱阿～ 2005-7-14 22:06 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 41 楼快多了．　　　　　　　　　　　 2005-7-15 09:27 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 42 楼提点建议，感觉还是把加密后的原程序做到单独的数据段里好，直接当附加数据会被侦测捆绑的工具报有木马的。采用的方式好像牺牲了兼容性，会造成一些程序出问题。外壳的代码还是压缩一下的好，并应该安插校验，现在这样可以直接修改，试用的限制只要改2个字就可以解除。不应采用固定格式，一旦有人加了病毒，我想那些杀毒软件会毫不忧郁的把壳列成病毒。 2005-7-15 20:48 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 43 楼谢谢q3 watcher意见. 1感觉还是把加密后的原程序做到单独的数据段里好，直接当附加数据会被侦测捆绑的工具报有木马的。这里有点不明白。单独数据段和附加数据不是一回事吗？ 2.外壳暂时没加什么校验，以后加上。试用的限制只要改2个字，可以说明一下在什么地方吗？ 3.不应采用固定格式这个是什么意思？ 4.采用的方式好像牺牲了兼容性，会造成一些程序出问题。这里能说的更多一点吗？ 2005-7-15 23:40 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 44 楼 053A6A7D \|> 68 04083B05 \|PUSH EXERe.053B0804 // 壳保存的密文( .orpc ) 053A6A82 \|. E8 39010000 \|CALL EXERe.053A6BC0 // 确定长度 053A6A87 \|. 50 \|PUSH EAX 053A6A88 \|. 8D85 F0FDFFFF \|LEA EAX,DWORD PTR SS:[EBP-210] 053A6A8E \|. 68 E0073B05 \|PUSH EXERe.053B07E0 // 壳保存的密文( page ??????? ) 053A6A93 \|. 50 \|PUSH EAX // buffer2 053A6A94 \|. E8 63020000 \|CALL EXERe.053A6CFC 这里是不是有个 Bug, 53A6A8E 是否是 Push 53B0804 2005-7-16 01:52 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 45 楼那些捆绑数据检测器只是校验PE格式，发现附加数据就报警，对于正常的区段没事，其实只要计算一下大小把最后的大小改了就行了。改的两个字一个是JE，对应NAG，另一个好象是JLE，对应退出，全部JMP就行了。不采用固定格式是指，应该加密壳的代码用的时候再解开和压缩一下意思差不多。至于兼容问题，是我看了处理方式自己觉得的，没什么依据，您还是等老大的分析吧。我不懂技术只会灌水，说错了什么就全当是扯蛋了。 2005-7-16 06:58 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 46 楼能不能具体说说改那里? 2005-7-18 09:15 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 47 楼顶，说说找的方法也行啊，我试着改，结果不能运行了。 2005-7-20 14:40 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 48 楼改了可别用于非法用途哦 2005-7-20 14:52 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 49 楼何必那么认真那?休息,休息一下. 2005-7-20 19:08 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 50 楼最初由 simonzh2000 发布 053A6A7D \|> 68 04083B05 \|PUSH EXERe.053B0804 // 壳保存的密文( .orpc ) 053A6A82 \|. E8 39010000 \|CALL EXERe.053A6BC0 // 确定长度 053A6A87 \|. 50 \|PUSH EAX 053A6A88 \|. 8D85 F0FDFFFF \|LEA EAX,DWORD PTR SS:[EBP-210] 053A6A8E \|. 68 E0073B05 \|PUSH EXERe.053B07E0 // 壳保存的密文( page ??????? ) ........ 楼主还没回答啊？ 2005-7-20 20:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复