[原创]新壳测试 0.2 (大提速)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]新壳测试 0.2 (大提速)

发表于: 2005-7-5 11:28 13046

[原创]新壳测试 0.2 (大提速)

random

2005-7-5 11:28

13046

版本：0.1
系统支持：Win2000 , WinXP , Win2003 (暂时不支持Win98,WinMe等)
目标程序：VC,Delphi,C++Builder.编译的EXE程序(delphi和C++builder编译
选项最好不使用runtime package),暂不支持VB.
由于要对目标程序结构进行全面的分析，所以最好不要用已经加壳的程序。

1.资源全部压缩.只留下主图标的位置.懒,目前暂未用目标程序的主图标替换.
2.API ****(不知道怎么描述好).
3.ASM Obfuscation.现在只对OEP使用了Obfuscation,Obfuscation的方式目前也
比较简单.可以支持在目标程序的源程序中插入一宏，则可将整个函数
Obfuscation.这样关键代码就不那么容易被从头看到尾了。
4.其他雕虫小技
5.加壳完成后会在原程序文件身边重新生成一个Packed.XXXX.exe

总结：写壳真是重体力活，累.

2005.7.12
在不影响强度的情况下修改了加载算法.
修改了压缩算法，应该不会出现加壳后猛增的情况了.
现在在我的机器上加载速度不大于2秒.

被加壳的文件最好是编译好的原始文件。
对已经加壳的程序处理结果未知。同时，用本壳加壳后也许不能再加其他壳。

附件:exerefactor 0.2.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (53) 1 2 3 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼脱壳当然也累 2005-7-5 11:37 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 3 楼太慢了 2005-7-5 12:12 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 4 楼哦，忘了说明一点，加载稍微慢了一点，正在优化 2005-7-5 12:18 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 5 楼 --------------------------- EXERefactor 0.1.exe - 应用程序错误 --------------------------- "0x053a5550" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。要终止程序，请单击“确定”。要调试程序，请单击“取消”。 --------------------------- 确定取消 --------------------------- ？？？ 2005-7-5 12:27 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 6 楼最初由 Themida 发布 --------------------------- EXERefactor 0.1.exe - 应用程序错误 --------------------------- "0x053a5550" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。 ........ 根据地址修改了一下，你再试试？ 2005-7-5 13:10 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 7 楼晕,太慢了,什么内核? 2005-7-5 15:50 0
kokocool 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	kokocool 8 楼 XP SP2 2005-7-5 15:53 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 9 楼已经可以了，测试VB，delphi程序通过，asm，VC程序出错，（测试程序为Msgbox程序） --------------------------- ASM.exe - 应用程序错误 --------------------------- "0x00171868" 指令引用的 "0x007aaff8" 内存。该内存不能为 "read"。 --------------------------- VC.exe - 应用程序错误 --------------------------- "0x75507f12" 指令引用的 "0x6801e39c" 内存。该内存不能为 "read"。附件:test.rar 2005-7-5 16:19 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 10 楼 kokocool 我在虚拟机上运行XP SP2也开了DEP,但是没有报警，正常运行，稍后再关注这个问题。 Themida 我自己试过好象对VB支持不是太好，怎么你的VB程序可以了你测试VC不能通过是加壳的时候出错还是运行出错啊？ VC编译用的static还是share MFC Library?(最好用static) 2005-7-5 16:45 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 11 楼我要说：有点像以前的那个记事本那样花大时间在内存中解码~ o d er 文件运行好慢~ 2005-7-5 17:16 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 12 楼最初由 cater 发布我要说：有点像以前的那个记事本那样花大时间在内存中解码~ o d er ........ 我的机器是迅弛2 1.7G + 512内存运行加壳后的记事本要5秒钟. 不过我的加载程序还有很大的优化空间，懒 2005-7-5 17:22 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 13 楼反正我是没有脱掉啦~ 你的壳保护的很好啊~ 等你优化好速度那就完美了~ 2005-7-5 17:46 0
kokocool 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	kokocool 14 楼搞个能加密dll的版本,到时候偶买一个,xp_sp1通过 2005-7-5 18:56 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 15 楼 P43.0，256，2K，SP3 5秒种，CPU%100，之后无任何反应~ 2005-7-5 22:50 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 16 楼要是谁能写一下这个壳的脱法就好了，，我是脱不掉。。。 2005-7-5 23:54 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 17 楼比XPR要慢10倍以上。 2005-7-6 08:04 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 18 楼最初由鸡蛋壳发布比XPR要慢10倍以上。蛋壳，我现在是0.1版，等我升级到1.0，比现在快10倍，就和你写的XPR速度差不多了. 2005-7-6 08:54 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 19 楼主程序的入口是不是： 0040EDCC 55 PUSH EBP///这里就是入口。 0040EDCD 8BEC MOV EBP,ESP 0040EDCF 6A FF PUSH -1 0040EDD1 68 085B4300 PUSH 435B08 0040EDD6 68 54504100 PUSH 415054 0040EDDB 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 0040EDE1 50 PUSH EAX 0040EDE2 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0040EDE9 83EC 58 SUB ESP,58 2005-7-6 09:15 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 20 楼最初由 csjwaman 发布主程序的入口是不是： 0040EDCC 55 PUSH EBP///这里就是入口。 0040EDCD 8BEC MOV EBP,ESP 0040EDCF 6A FF PUSH -1 ........ 这段代码长的这么整齐，应该不是吧。 2005-7-6 09:51 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 21 楼你在壳中执行了入口代码，但好象没把原程序的入口代码销毁掉。 2005-7-6 10:25 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 22 楼最初由 csjwaman 发布你在壳中执行了入口代码，但好象没把原程序的入口代码销毁掉。确实如此，我看了我的程序，把(原程序的入口代码销毁)这段代码我调试程序的时候注释了，失误，呵呵，重新编译一个。 2005-7-6 10:38 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 23 楼销毁入口代码后难找入口了。 2005-7-7 17:50 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 24 楼大概看了一下，好像一个 DLL 就用一个线程处理。 2005-7-7 20:10 0
fnp902003 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	fnp902003 25 楼汗，这个加密我的一个3.23M的程序后居然那个程序变成了14.2M之大~ 可怕~ 2005-7-9 19:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

random

发帖

142

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) 1 2 3 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼脱壳当然也累 2005-7-5 11:37 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 3 楼太慢了 2005-7-5 12:12 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 4 楼哦，忘了说明一点，加载稍微慢了一点，正在优化 2005-7-5 12:18 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 5 楼 --------------------------- EXERefactor 0.1.exe - 应用程序错误 --------------------------- "0x053a5550" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。要终止程序，请单击“确定”。要调试程序，请单击“取消”。 --------------------------- 确定取消 --------------------------- ？？？ 2005-7-5 12:27 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 6 楼最初由 Themida 发布 --------------------------- EXERefactor 0.1.exe - 应用程序错误 --------------------------- "0x053a5550" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。 ........ 根据地址修改了一下，你再试试？ 2005-7-5 13:10 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 7 楼晕,太慢了,什么内核? 2005-7-5 15:50 0
kokocool 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	kokocool 8 楼 XP SP2 2005-7-5 15:53 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 9 楼已经可以了，测试VB，delphi程序通过，asm，VC程序出错，（测试程序为Msgbox程序） --------------------------- ASM.exe - 应用程序错误 --------------------------- "0x00171868" 指令引用的 "0x007aaff8" 内存。该内存不能为 "read"。 --------------------------- VC.exe - 应用程序错误 --------------------------- "0x75507f12" 指令引用的 "0x6801e39c" 内存。该内存不能为 "read"。附件:test.rar 2005-7-5 16:19 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 10 楼 kokocool 我在虚拟机上运行XP SP2也开了DEP,但是没有报警，正常运行，稍后再关注这个问题。 Themida 我自己试过好象对VB支持不是太好，怎么你的VB程序可以了你测试VC不能通过是加壳的时候出错还是运行出错啊？ VC编译用的static还是share MFC Library?(最好用static) 2005-7-5 16:45 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 11 楼我要说：有点像以前的那个记事本那样花大时间在内存中解码~ o d er 文件运行好慢~ 2005-7-5 17:16 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 12 楼最初由 cater 发布我要说：有点像以前的那个记事本那样花大时间在内存中解码~ o d er ........ 我的机器是迅弛2 1.7G + 512内存运行加壳后的记事本要5秒钟. 不过我的加载程序还有很大的优化空间，懒 2005-7-5 17:22 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 13 楼反正我是没有脱掉啦~ 你的壳保护的很好啊~ 等你优化好速度那就完美了~ 2005-7-5 17:46 0
kokocool 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	kokocool 14 楼搞个能加密dll的版本,到时候偶买一个,xp_sp1通过 2005-7-5 18:56 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 15 楼 P43.0，256，2K，SP3 5秒种，CPU%100，之后无任何反应~ 2005-7-5 22:50 0
th666 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 48 粉丝 0 关注私信	th666 16 楼要是谁能写一下这个壳的脱法就好了，，我是脱不掉。。。 2005-7-5 23:54 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 17 楼比XPR要慢10倍以上。 2005-7-6 08:04 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 18 楼最初由鸡蛋壳发布比XPR要慢10倍以上。蛋壳，我现在是0.1版，等我升级到1.0，比现在快10倍，就和你写的XPR速度差不多了. 2005-7-6 08:54 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 19 楼主程序的入口是不是： 0040EDCC 55 PUSH EBP///这里就是入口。 0040EDCD 8BEC MOV EBP,ESP 0040EDCF 6A FF PUSH -1 0040EDD1 68 085B4300 PUSH 435B08 0040EDD6 68 54504100 PUSH 415054 0040EDDB 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 0040EDE1 50 PUSH EAX 0040EDE2 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0040EDE9 83EC 58 SUB ESP,58 2005-7-6 09:15 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 20 楼最初由 csjwaman 发布主程序的入口是不是： 0040EDCC 55 PUSH EBP///这里就是入口。 0040EDCD 8BEC MOV EBP,ESP 0040EDCF 6A FF PUSH -1 ........ 这段代码长的这么整齐，应该不是吧。 2005-7-6 09:51 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 21 楼你在壳中执行了入口代码，但好象没把原程序的入口代码销毁掉。 2005-7-6 10:25 0
random 雪币： 209 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 1 关注私信	random 22 楼最初由 csjwaman 发布你在壳中执行了入口代码，但好象没把原程序的入口代码销毁掉。确实如此，我看了我的程序，把(原程序的入口代码销毁)这段代码我调试程序的时候注释了，失误，呵呵，重新编译一个。 2005-7-6 10:38 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 23 楼销毁入口代码后难找入口了。 2005-7-7 17:50 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 24 楼大概看了一下，好像一个 DLL 就用一个线程处理。 2005-7-7 20:10 0
fnp902003 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	fnp902003 25 楼汗，这个加密我的一个3.23M的程序后居然那个程序变成了14.2M之大~ 可怕~ 2005-7-9 19:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复