unpack it 3-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

unpack it 3

发表于: 2005-8-19 20:49 6324

unpack it 3

q3 watcher 活跃值

2005-8-19 20:49

6324

新加了一些东西，越来越大了，没有办法。原来老是有人说2000下不能运行，前几天找人在几台2000的机器下试了下，其中有450+64M的本机，没有什么问题，还请用2000的各位老大们帮忙看看。还有问一下，有没有人用IDA或W32Dasm只类的来分析壳？

附件:regclean.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (19)
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 2 楼没有消息就是好消息,谁来HOOK一个BlockInput,看看挂不挂. 2005-8-20 20:06 0
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 3 楼没有人看，帮你顶一吧 2005-8-23 09:00 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 4 楼 ZwQueryInformationProcess 2005-8-23 09:22 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 5 楼谢谢两位帮忙顶.我的定位就是让高手觉得调试起来又烦,又卡,总之是不舒服+耽误时间.而新手估计搞不定.可能是凶了点,没什么人玩. 2005-8-23 16:30 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 6 楼 2K,sp4, 无反应~ 2005-8-23 17:48 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 7 楼最初由 prince 发布 2K,sp4, 无反应~ 哭,我以为没问题了.我找同学给测试过了,当时没问题的,莫非2000和2000还不一样? 2005-8-23 20:12 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼虚拟机2K没跑动 2005-8-23 20:22 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 9 楼最初由 fly 发布虚拟机2K没跑动虚拟机的速度有点慢,解码9成会挂,我这里虚拟的也都跑不起来. 2005-8-24 07:27 0
CoolWolF 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 118 粉丝 1 关注私信	CoolWolF 10 楼 2003不动 2005-8-24 09:18 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 11 楼谢谢各位,看来是成了ONLY FOR XP了,我哪天明明看着在2000 SP4下跑的好好的,没想到会出这么多怪异的问题,真实头疼啊.快该开学了,先正抓紧时间GAME,解决问题估计等10.1了. 2005-8-24 18:08 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 12 楼最初由 q3 watcher 发布谢谢各位,看来是成了ONLY FOR XP了,我哪天明明看着在2000 SP4下跑的好好的,没想到会出这么多怪异的问题,真实头疼啊.快该开学了,先正抓紧时间GAME,解决问题估计等10.1了. 搞个稳定版出来我来玩。不会真要等到10.1后吧？ 2005-9-4 17:31 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 13 楼汗个！！你能保证每次BlockInput后壳都能顺利运行吗？如果不能，一旦壳在解码过程出错，那么即只能restart了。。我XP sp2，刚装的新系统，白白的。没有什么做坏事的痕迹。。运行后五分钟鼠标还没动弹。只好restart了。。希望下个版本改进，先支持下！！！ 2005-9-4 18:33 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 14 楼感谢老大们帮忙测试,已经确定不是2000的问题,因为在数台2000的机器上都可以运行,但在一台SREVER版上就不行,可能还是稳定性上的问题吧,用了N种ANTI,时间闸校验校验密布，一旦出问题，轻则解码错误没有反映，重则陷入死锁，需要CTRL+ALT+DELETE，从一开始稳定性就不好.现在开学了,不敢嚣张的玩电脑了,因为我妈老是骂我,至于什么时候能解决我现在也说不好了. TO Immlep:CTRL+ALT+DELETE不能恢复?如果还伴随CPU 100%,并且内存耗尽,那就应该是你开了什么不改开的东西.设计的就是被逮住之后不会自动重启而是必须手动,以此破坏脱壳者的心情,并加速硬件的损坏. 2005-9-4 20:16 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 15 楼我这里2K-SP4 Server可以运行。看了下，这个东东对于很多人都比较“麻烦”的说。 2005-9-4 21:09 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 16 楼小结一下： 1 多线程 2 BlockInput 3 GetTickCount 4 ZwQueryInformationProcess 5 ZwSetInformationThread 6 CheckRemoteDebuggerPresent 7 FindWindow 8 EnableWindow 9 Process32Next 10 ReadProcessMemory 11 GetProcessHeap 12 ZwOpenProcess(...,&(clid=CsrGetProcessId())) 13 N 多 RDTSC 14 N^x 多花花 15 IsDebuggerPresent 16 改 CALL DWORD PTR DS:[<&DLL.ApiName>] 为call 壳地址 17 利用异常对drx清零 18 用多个(同种异常+花花+LOOPD) 组成循环，循环次数>=0x8a00，只有一个LOOPD是正确出口。 ...... 最后竟用VMProtect！这里给出的dmped_.exe只好到此为止。附件:dumped_.rar 2005-9-5 19:44 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 17 楼呵呵，辛苦了 2005-9-5 19:46 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 18 楼首长辛苦！为人民服务！！！ 2005-9-5 19:50 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 19 楼真厉害,基本上就是这些,不知老大是用了多长时间杀出虫围的？还用了一些高级插件可以屏蔽的东东,下回我会加入对HOOK和一些插件的检测.用VM是因为我不知道怎么样才能把入口的大段代码搬走,只能抽掉几行字,还不如不抽,所以干脆用VM搬,还好对VM的兼容还不错.这种淹没式的反跟踪方式来还是成功的，就是不知道有老大这样的水平和毅力的人世间还有几人． 2005-9-5 20:46 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 20 楼晕,这么麻烦,期待脱文也好学习学习. 2005-9-6 20:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

q3 watcher

发帖

902

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 2 楼没有消息就是好消息,谁来HOOK一个BlockInput,看看挂不挂. 2005-8-20 20:06 0
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 3 楼没有人看，帮你顶一吧 2005-8-23 09:00 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 4 楼 ZwQueryInformationProcess 2005-8-23 09:22 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 5 楼谢谢两位帮忙顶.我的定位就是让高手觉得调试起来又烦,又卡,总之是不舒服+耽误时间.而新手估计搞不定.可能是凶了点,没什么人玩. 2005-8-23 16:30 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 6 楼 2K,sp4, 无反应~ 2005-8-23 17:48 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 7 楼最初由 prince 发布 2K,sp4, 无反应~ 哭,我以为没问题了.我找同学给测试过了,当时没问题的,莫非2000和2000还不一样? 2005-8-23 20:12 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼虚拟机2K没跑动 2005-8-23 20:22 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 9 楼最初由 fly 发布虚拟机2K没跑动虚拟机的速度有点慢,解码9成会挂,我这里虚拟的也都跑不起来. 2005-8-24 07:27 0
CoolWolF 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 118 粉丝 1 关注私信	CoolWolF 10 楼 2003不动 2005-8-24 09:18 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 11 楼谢谢各位,看来是成了ONLY FOR XP了,我哪天明明看着在2000 SP4下跑的好好的,没想到会出这么多怪异的问题,真实头疼啊.快该开学了,先正抓紧时间GAME,解决问题估计等10.1了. 2005-8-24 18:08 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 12 楼最初由 q3 watcher 发布谢谢各位,看来是成了ONLY FOR XP了,我哪天明明看着在2000 SP4下跑的好好的,没想到会出这么多怪异的问题,真实头疼啊.快该开学了,先正抓紧时间GAME,解决问题估计等10.1了. 搞个稳定版出来我来玩。不会真要等到10.1后吧？ 2005-9-4 17:31 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 13 楼汗个！！你能保证每次BlockInput后壳都能顺利运行吗？如果不能，一旦壳在解码过程出错，那么即只能restart了。。我XP sp2，刚装的新系统，白白的。没有什么做坏事的痕迹。。运行后五分钟鼠标还没动弹。只好restart了。。希望下个版本改进，先支持下！！！ 2005-9-4 18:33 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 14 楼感谢老大们帮忙测试,已经确定不是2000的问题,因为在数台2000的机器上都可以运行,但在一台SREVER版上就不行,可能还是稳定性上的问题吧,用了N种ANTI,时间闸校验校验密布，一旦出问题，轻则解码错误没有反映，重则陷入死锁，需要CTRL+ALT+DELETE，从一开始稳定性就不好.现在开学了,不敢嚣张的玩电脑了,因为我妈老是骂我,至于什么时候能解决我现在也说不好了. TO Immlep:CTRL+ALT+DELETE不能恢复?如果还伴随CPU 100%,并且内存耗尽,那就应该是你开了什么不改开的东西.设计的就是被逮住之后不会自动重启而是必须手动,以此破坏脱壳者的心情,并加速硬件的损坏. 2005-9-4 20:16 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 15 楼我这里2K-SP4 Server可以运行。看了下，这个东东对于很多人都比较“麻烦”的说。 2005-9-4 21:09 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 16 楼小结一下： 1 多线程 2 BlockInput 3 GetTickCount 4 ZwQueryInformationProcess 5 ZwSetInformationThread 6 CheckRemoteDebuggerPresent 7 FindWindow 8 EnableWindow 9 Process32Next 10 ReadProcessMemory 11 GetProcessHeap 12 ZwOpenProcess(...,&(clid=CsrGetProcessId())) 13 N 多 RDTSC 14 N^x 多花花 15 IsDebuggerPresent 16 改 CALL DWORD PTR DS:[<&DLL.ApiName>] 为call 壳地址 17 利用异常对drx清零 18 用多个(同种异常+花花+LOOPD) 组成循环，循环次数>=0x8a00，只有一个LOOPD是正确出口。 ...... 最后竟用VMProtect！这里给出的dmped_.exe只好到此为止。附件:dumped_.rar 2005-9-5 19:44 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 17 楼呵呵，辛苦了 2005-9-5 19:46 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 18 楼首长辛苦！为人民服务！！！ 2005-9-5 19:50 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 19 楼真厉害,基本上就是这些,不知老大是用了多长时间杀出虫围的？还用了一些高级插件可以屏蔽的东东,下回我会加入对HOOK和一些插件的检测.用VM是因为我不知道怎么样才能把入口的大段代码搬走,只能抽掉几行字,还不如不抽,所以干脆用VM搬,还好对VM的兼容还不错.这种淹没式的反跟踪方式来还是成功的，就是不知道有老大这样的水平和毅力的人世间还有几人． 2005-9-5 20:46 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 20 楼晕,这么麻烦,期待脱文也好学习学习. 2005-9-6 20:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复