首页
社区
课程
招聘
[原创]新壳测试 0.2 (大提速)
发表于: 2005-7-5 11:28 13076

[原创]新壳测试 0.2 (大提速)

2005-7-5 11:28
13076
版    本:0.1
系统支持:Win2000 , WinXP , Win2003 (暂时不支持Win98,WinMe等)
目标程序:VC,Delphi,C++Builder.编译的EXE程序(delphi和C++builder编译
选项最好不使用runtime package),暂不支持VB.
由于要对目标程序结构进行全面的分析,所以最好不要用已经加壳的程序。

1.资源全部压缩.只留下主图标的位置.懒,目前暂未用目标程序的主图标替换.
2.API ****(不知道怎么描述好).
3.ASM Obfuscation.现在只对OEP使用了Obfuscation,Obfuscation的方式目前也
  比较简单.可以支持在目标程序的源程序中插入一宏,则可将整个函数
  Obfuscation.这样关键代码就不那么容易被从头看到尾了。
4.其他雕虫小技
5.加壳完成后会在原程序文件身边重新生成一个Packed.XXXX.exe

总   结:写壳真是重体力活,累.

2005.7.12
在不影响强度的情况下修改了加载算法.
修改了压缩算法,应该不会出现加壳后猛增的情况了.
现在在我的机器上加载速度不大于2秒.

被加壳的文件最好是编译好的原始文件。
对已经加壳的程序处理结果未知。同时,用本壳加壳后也许不能再加其他壳。

附件:exerefactor 0.2.rar

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (53)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
脱壳当然也累
2005-7-5 11:37
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
太慢了
2005-7-5 12:12
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
哦,忘了说明一点,加载稍微慢了一点,正在优化
2005-7-5 12:18
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
5
---------------------------
EXERefactor 0.1.exe - 应用程序错误
---------------------------
"0x053a5550" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。

要终止程序,请单击“确定”。
要调试程序,请单击“取消”。
---------------------------
确定   取消   
---------------------------

???
2005-7-5 12:27
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
最初由 Themida 发布
---------------------------
EXERefactor 0.1.exe - 应用程序错误
---------------------------
"0x053a5550" 指令引用的 "0x00000000" 内存。该内存不能为 "read"。

........


根据地址修改了一下,你再试试?
2005-7-5 13:10
0
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
晕,太慢了,什么内核?
2005-7-5 15:50
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
XP SP2
2005-7-5 15:53
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
9
已经可以了,

测试VB,delphi程序通过,asm,VC程序出错,(测试程序为Msgbox程序)

---------------------------
ASM.exe - 应用程序错误
---------------------------
"0x00171868" 指令引用的 "0x007aaff8" 内存。该内存不能为 "read"。

---------------------------
VC.exe - 应用程序错误
---------------------------
"0x75507f12" 指令引用的 "0x6801e39c" 内存。该内存不能为 "read"。

附件:test.rar
2005-7-5 16:19
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
kokocool
我在虚拟机上运行XP SP2也开了DEP,但是没有报警,正常运行,稍后再关注这个问题。

Themida
我自己试过好象对VB支持不是太好,怎么你的VB程序可以了
你测试VC不能通过是加壳的时候出错还是运行出错啊?
VC编译用的static还是share MFC Library?(最好用static)
2005-7-5 16:45
0
雪    币: 109
活跃值: (538)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
11
我要说:
有点像以前的那个记事本那样 花大时间在内存中解码~

o d er

文件运行好慢~
2005-7-5 17:16
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
最初由 cater 发布
我要说:
有点像以前的那个记事本那样 花大时间在内存中解码~

o d er

........


我的机器是 迅弛2 1.7G + 512内存 运行加壳后的记事本 要5秒钟.
不过我的加载程序还有很大的优化空间,懒
2005-7-5 17:22
0
雪    币: 109
活跃值: (538)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
13
反正我是没有脱掉啦~

你的壳保护的很好啊~

等你优化好速度那就完美了~
2005-7-5 17:46
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
搞个能加密dll的版本,到时候偶买一个,xp_sp1通过
2005-7-5 18:56
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
15
P43.0,256,2K,SP3
5秒种,CPU%100,之后无任何反应~
2005-7-5 22:50
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
要是谁能写一下这个壳的脱法就好了,,我是脱不掉。。。
2005-7-5 23:54
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
比XPR要慢10倍以上。
2005-7-6 08:04
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
最初由 鸡蛋壳 发布
比XPR要慢10倍以上。


蛋壳,我现在是0.1版,等我升级到1.0,比现在快10倍,就和
你写的XPR速度差不多了.
2005-7-6 08:54
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
19
主程序的入口是不是:

0040EDCC    55              PUSH EBP///这里就是入口。
0040EDCD    8BEC            MOV EBP,ESP
0040EDCF    6A FF           PUSH -1
0040EDD1    68 085B4300     PUSH 435B08
0040EDD6    68 54504100     PUSH 415054
0040EDDB    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
0040EDE1    50              PUSH EAX
0040EDE2    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040EDE9    83EC 58         SUB ESP,58
2005-7-6 09:15
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
最初由 csjwaman 发布
主程序的入口是不是:

0040EDCC 55 PUSH EBP///这里就是入口。
0040EDCD 8BEC MOV EBP,ESP
0040EDCF 6A FF PUSH -1
........


这段代码长的这么整齐,应该不是吧。
2005-7-6 09:51
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
21
你在壳中执行了入口代码,但好象没把原程序的入口代码销毁掉。
2005-7-6 10:25
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
最初由 csjwaman 发布
你在壳中执行了入口代码,但好象没把原程序的入口代码销毁掉。


确实如此,我看了我的程序,把(原程序的入口代码销毁)这段代码我调试程序的
时候注释了,失误,呵呵,重新编译一个。
2005-7-6 10:38
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
23
销毁入口代码后难找入口了。
2005-7-7 17:50
0
雪    币: 398
活跃值: (1078)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
24
大概看了一下, 好像 一个 DLL 就用一个线程处理。
2005-7-7 20:10
0
雪    币: 206
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
汗,这个加密我的一个3.23M的程序后
居然那个程序变成了14.2M之大~
可怕~
2005-7-9 19:17
0
游客
登录 | 注册 方可回帖
返回
//