[ZT]SLV Code Protect 0.61-安全工具-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 2 楼这次不盗[MSLRH]的垃圾代码了,稳定性也好了,但强度反而低了许多. 00145B36 - FFE0 jmp eax ; SCP1.004042B0 2005-8-10 08:15 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 3 楼谁去转个脱壳了的看看 2005-8-10 09:20 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 4 楼怎么才能用OD正常加载呢修复一下文件开始部分的标志即可,比如我加壳的这个文件被修改成了097A35FE ,需要手动改成0000010就可以了,不过修改文件时注意对应有位置关于Anti-debugger protection; 1 bp CreateFileA+1 检测 001467DF 5C 2E 5C 53 49 43 45 00 \.\SICE. 001467E7 5C 5C 2E 5C 4E 54 49 43 \\.\NTIC 001467EF 45 00 5C 5C 2E 5C 54 52 E.\\.\TR 001467F7 57 00 5C 5C 2E 5C 46 49 W.\\.\FI 001467FF 4C 45 56 58 44 00 5C 5C LEVXD.\\ 00146807 2E 5C 52 45 47 56 58 44 .\REGVXD 0014680F 00 5C 5C 2E 5C 53 55 50 .\\.\SUP 00146817 45 52 42 50 4D 00 5C 5C ERBPM.\\ 0014681F 2E 5C 53 49 57 44 45 42 .\SIWDEB 00146827 55 47 00 5C 5C 2E 5C 53 UG.\\.\S 0014682F 49 57 56 49 44 00 5C 5C IWVID.\\ 00146837 2E 5C 4E 54 49 43 45 37 .\NTICE7 0014683F 38 37 31 00 5C 5C 2E 5C 871.\\.\ 00146847 4E 54 49 43 45 44 30 35 NTICED05 0014684F 32 00 5C 5C 2E 5C 56 4B 2.\\.\VK 00146857 45 59 50 52 4F 44 00 5C EYPROD.\ 0014685F 5C 2E 5C 42 57 32 4B 00 \.\BW2K. 2 findwindow 黑名单 00145727 4F 6C 6C 79 44 33 67 00 OllyD3g. 0014572F 30 6C 6C 79 44 62 67 00 0llyDbg. 00145737 54 53 70 79 57 69 6E 64 TSpyWind 0014573F 6F 77 00 32 39 39 34 46 ow.2994F 00145747 44 32 30 00 54 44 65 44 D20.TDeD 0014574F 65 4D 61 69 6E 46 6F 72 eMainFor 00145757 6D 00 4F 57 4C 5F 57 69 m.OWL_Wi 0014575F 6E 64 6F 77 00 54 49 64 ndow.TId 00145767 61 57 69 6E 64 6F 77 00 aWindow. 0014576F 49 6D 70 6F 72 74 20 52 Import R 00145777 45 43 6F 6E 73 74 72 75 EConstru 0014577F 63 74 6F 72 20 76 31 2E ctor v1. 00145787 36 20 46 49 4E 41 4C 20 6 FINAL 0014578F 28 43 29 20 32 30 30 31 (C) 2001 00145797 2D 32 30 30 33 20 4D 61 -2003 Ma 0014579F 63 6B 54 2F 75 43 46 00 ckT/uCF. 001457A7 52 65 73 6F 75 72 63 65 Resource 001457AF 20 48 61 63 6B 65 72 00 Hacker. 001457B7 5B 20 4C 6F 72 64 50 45 [ LordPE 001457BF 20 44 65 6C 75 78 65 20 Deluxe 001457C7 5D 20 62 79 20 79 6F 64 ] by yod 001457CF 61 00 50 45 69 44 20 76 a.PEiD v 001457D7 30 2E 39 33 00 50 45 20 0.93.PE 001457DF 54 6F 6F 6C 73 20 76 31 Tools v1 001457E7 2E 35 20 58 6D 61 73 20 .5 Xmas 001457EF 45 64 69 74 69 6F 6E 20 Edition 001457F7 2D 20 62 79 20 4E 45 4F - by NEO 001457FF 78 2F 5B 75 69 6E 43 5D x/[uinC] 00145807 2C 20 68 74 74 70 3A 2F , http:/ 0014580F 2F 77 77 77 2E 75 69 6E /www.uin 00145817 63 2E 72 75 2F 00 42 44 c.ru/.BD 0014581F 41 53 4D 00 50 72 6F 63 ASM.Proc 00145827 65 73 73 20 48 75 6E 74 ess Hunt 0014582F 65 72 20 76 31 2E 30 00 er v1.0. 00145837 5B 20 50 45 64 69 74 6F [ PEdito 0014583F 72 20 31 2E 37 20 5D 20 r 1.7 ] 00145847 20 62 79 20 79 6F 64 61 by yoda 0014584F 20 26 20 4D 2E 6F 2E 44 & M.o.D 00145857 2E 00 50 52 4F 54 45 43 ..PROTEC 0014585F 54 69 4F 4E 20 69 44 20 TiON iD 00145867 76 35 2E 30 20 46 69 4E v5.0 FiN 0014586F 41 4C 20 2D 20 74 68 65 AL - the 00145877 20 75 6C 74 69 6D 61 74 ultimat 0014587F 65 20 50 72 6F 74 65 63 e Protec 00145887 74 69 6F 6E 20 53 63 61 tion Sca 0014588F 6E 6E 65 72 20 2D 20 31 nner - 1 00145897 30 30 25 20 41 53 4D 20 00% ASM 0014589F 21 00 49 6D 70 6F 72 74 !.Import 001458A7 20 52 45 43 6F 6E 73 74 REConst 001458AF 72 75 63 74 6F 72 20 76 ructor v 001458B7 31 2E 34 2E 33 20 42 45 1.4.3 BE 001458BF 54 41 35 20 28 43 29 20 TA5 (C) 001458C7 32 30 30 31 2D 32 30 30 2001-200 001458CF 32 20 4D 61 63 6B 54 2F 2 MackT/ 001458D7 75 43 46 00 55 8B EC 56 uCF.U?V 3 001450C9 57 push edi 001450CA FF95 E52C4000 call dword ptr ss:[ebp+402CE5] 001450D0 B8 FE357A09 mov eax, 97A35FE //检测文件的标志 001450D5 8B57 74 mov edx, dword ptr ds:[edi+74] 001450D8 3BC2 cmp eax, edx 001450DA 74 7F je short 0014515B //必须跳 001450DC 6A 00 push 0 001450DE 8B85 B52C4000 mov eax, dword ptr ss:[ebp+402CB5] 4 用rdtsc检测是否被调试 001451FB F3: prefix rep: ; Superfluous prefix 001451FC 0F31 rdtsc 001451FE 8BC8 mov ecx, eax 00145200 65:0F31 rdtsc ; Superfluous prefix 00145203 2BC1 sub eax, ecx 00145205 EB 03 jmp short 0014520A 00145207 EB 03 jmp short 0014520C 00145209 DFEB fucomip st, st(3) 0014520B FB sti 0014520C 3D 00001000 cmp eax, 100000 2005-8-10 09:40 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 5 楼把入口改一下就行了．不过这个哥们的写东西真是实在，一样的东西写２０遍，直接赋值，还是会有不少程序出问题的． 2005-8-10 10:04 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 6 楼在VM5/WIN2000SP4中运行不起来。现在许多新加壳程序（比如pespin1.3）在VM中不能运行，不知道为什么。难道是rdtsc指令超时？ 2005-8-10 10:28 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 7 楼已经搞定了,有兴趣的下载看看吧附件:unpacked.rar 2005-8-10 11:21 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 8 楼 2005-8-10 15:43 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 9 楼最初由 qq7119 发布谁去转个脱壳了的看看很多的工具按现有的能力是可以做到的。上面已解释了，没必要转载。 2005-8-10 16:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

q3 watcher

雪币： 215

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

23

回帖

902

粉丝

0

关注

私信

q3 watcher: 2 楼

这次不盗[MSLRH]的垃圾代码了,稳定性也好了,但强度反而低了许多.
00145B36 - FFE0 jmp eax ; SCP1.004042B0

2005-8-10 08:15

0

qq7119

雪币： 207

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

30

回帖

477

粉丝

0

关注

私信

qq7119: 3 楼

谁去转个脱壳了的看看

2005-8-10 09:20

0

clide2000

雪币： 301

活跃值： (300)

能力值：

( LV9，RANK：290 )

在线值：

发帖

56

回帖

1209

粉丝

2

关注

私信

clide2000 7: 4 楼

怎么才能用OD正常加载呢
修复一下文件开始部分的标志即可,比如我加壳的这个文件被修改成了097A35FE ,需要手动改成0000010就可以了,不过修改文件时注意对应有位置
关于Anti-debugger protection;
1
bp CreateFileA+1    检测
001467DF  5C 2E 5C 53 49 43 45 00  \.\SICE.
001467E7  5C 5C 2E 5C 4E 54 49 43  \\.\NTIC
001467EF  45 00 5C 5C 2E 5C 54 52  E.\\.\TR
001467F7  57 00 5C 5C 2E 5C 46 49  W.\\.\FI
001467FF  4C 45 56 58 44 00 5C 5C  LEVXD.\\
00146807  2E 5C 52 45 47 56 58 44  .\REGVXD
0014680F  00 5C 5C 2E 5C 53 55 50  .\\.\SUP
00146817  45 52 42 50 4D 00 5C 5C  ERBPM.\\
0014681F  2E 5C 53 49 57 44 45 42  .\SIWDEB
00146827  55 47 00 5C 5C 2E 5C 53  UG.\\.\S
0014682F  49 57 56 49 44 00 5C 5C  IWVID.\\
00146837  2E 5C 4E 54 49 43 45 37  .\NTICE7
0014683F  38 37 31 00 5C 5C 2E 5C  871.\\.\
00146847  4E 54 49 43 45 44 30 35  NTICED05
0014684F  32 00 5C 5C 2E 5C 56 4B  2.\\.\VK
00146857  45 59 50 52 4F 44 00 5C  EYPROD.\
0014685F  5C 2E 5C 42 57 32 4B 00  \.\BW2K.

2
findwindow 黑名单
00145727    4F 6C 6C 79 44 33 67 00  OllyD3g.
0014572F    30 6C 6C 79 44 62 67 00  0llyDbg.
00145737    54 53 70 79 57 69 6E 64  TSpyWind
0014573F    6F 77 00 32 39 39 34 46  ow.2994F
00145747    44 32 30 00 54 44 65 44  D20.TDeD
0014574F    65 4D 61 69 6E 46 6F 72  eMainFor
00145757    6D 00 4F 57 4C 5F 57 69  m.OWL_Wi
0014575F    6E 64 6F 77 00 54 49 64  ndow.TId
00145767    61 57 69 6E 64 6F 77 00  aWindow.
0014576F    49 6D 70 6F 72 74 20 52  Import R
00145777    45 43 6F 6E 73 74 72 75  EConstru
0014577F    63 74 6F 72 20 76 31 2E  ctor v1.
00145787    36 20 46 49 4E 41 4C 20  6 FINAL
0014578F    28 43 29 20 32 30 30 31  (C) 2001
00145797    2D 32 30 30 33 20 4D 61  -2003 Ma
0014579F    63 6B 54 2F 75 43 46 00  ckT/uCF.
001457A7    52 65 73 6F 75 72 63 65  Resource
001457AF    20 48 61 63 6B 65 72 00 Hacker.
001457B7    5B 20 4C 6F 72 64 50 45  [ LordPE
001457BF    20 44 65 6C 75 78 65 20 Deluxe
001457C7    5D 20 62 79 20 79 6F 64  ] by yod
001457CF    61 00 50 45 69 44 20 76  a.PEiD v
001457D7    30 2E 39 33 00 50 45 20  0.93.PE
001457DF    54 6F 6F 6C 73 20 76 31  Tools v1
001457E7    2E 35 20 58 6D 61 73 20  .5 Xmas
001457EF    45 64 69 74 69 6F 6E 20  Edition
001457F7    2D 20 62 79 20 4E 45 4F  - by NEO
001457FF    78 2F 5B 75 69 6E 43 5D  x/[uinC]
00145807    2C 20 68 74 74 70 3A 2F  , http:/
0014580F    2F 77 77 77 2E 75 69 6E  /www.uin
00145817    63 2E 72 75 2F 00 42 44  c.ru/.BD
0014581F    41 53 4D 00 50 72 6F 63  ASM.Proc
00145827    65 73 73 20 48 75 6E 74  ess Hunt
0014582F    65 72 20 76 31 2E 30 00  er v1.0.
00145837    5B 20 50 45 64 69 74 6F  [ PEdito
0014583F    72 20 31 2E 37 20 5D 20  r 1.7 ]
00145847    20 62 79 20 79 6F 64 61 by yoda
0014584F    20 26 20 4D 2E 6F 2E 44 & M.o.D
00145857    2E 00 50 52 4F 54 45 43  ..PROTEC
0014585F    54 69 4F 4E 20 69 44 20  TiON iD
00145867    76 35 2E 30 20 46 69 4E  v5.0 FiN
0014586F    41 4C 20 2D 20 74 68 65  AL - the
00145877    20 75 6C 74 69 6D 61 74 ultimat
0014587F    65 20 50 72 6F 74 65 63  e Protec
00145887    74 69 6F 6E 20 53 63 61  tion Sca
0014588F    6E 6E 65 72 20 2D 20 31  nner - 1
00145897    30 30 25 20 41 53 4D 20  00% ASM
0014589F    21 00 49 6D 70 6F 72 74  !.Import
001458A7    20 52 45 43 6F 6E 73 74 REConst
001458AF    72 75 63 74 6F 72 20 76  ructor v
001458B7    31 2E 34 2E 33 20 42 45  1.4.3 BE
001458BF    54 41 35 20 28 43 29 20  TA5 (C)
001458C7    32 30 30 31 2D 32 30 30  2001-200
001458CF    32 20 4D 61 63 6B 54 2F  2 MackT/
001458D7    75 43 46 00 55 8B EC 56  uCF.U?V
3
001450C9 57          push edi
001450CA FF95 E52C4000  call dword ptr ss:[ebp+402CE5]
001450D0 B8 FE357A09 mov eax, 97A35FE    //检测文件的标志
001450D5 8B57 74       mov edx, dword ptr ds:[edi+74]
001450D8 3BC2          cmp eax, edx
001450DA 74 7F       je short 0014515B    //必须跳
001450DC 6A 00       push 0
001450DE 8B85 B52C4000  mov eax, dword ptr ss:[ebp+402CB5]
4
用rdtsc检测是否被调试
001451FB F3:          prefix rep:                            ; Superfluous prefix
001451FC 0F31          rdtsc
001451FE 8BC8          mov ecx, eax
00145200 65:0F31       rdtsc                                  ; Superfluous prefix
00145203 2BC1          sub eax, ecx
00145205 EB 03       jmp short 0014520A
00145207 EB 03       jmp short 0014520C
00145209 DFEB          fucomip st, st(3)
0014520B FB          sti
0014520C 3D 00001000 cmp eax, 100000

2005-8-10 09:40

0