[原创]fengyue.sys脱壳及vm还原-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]fengyue.sys脱壳及vm还原

2013-5-15 22:02 38014

[原创]fengyue.sys脱壳及vm还原

疯子

2013-5-15 22:02

38014

查看主题内容

收藏・91

点赞・3

打赏

最新回复 (49) ◀ 1 2
TPDD 雪币： 2813 活跃值： (1712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	TPDD 2013-5-16 19:47 26 楼 0 太强大了,只能膜拜
cvcvxk 雪币： 8861 活跃值： (2369) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2013-5-16 21:04 27 楼 0 loadsys整个让我眼前一亮！！！跪了~~
tjszlqq 雪币： 774 活跃值： (1516) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 867 粉丝 1 关注私信	tjszlqq 1 2013-5-17 08:03 28 楼 0 这个壳是没有公开的，都被脱了。如果公开的话，可以用加壳程序加一个记事本了解原理，就简单多了。
juedui 雪币： 287 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	juedui 2013-5-17 09:32 29 楼 0 loadsys不通用我用VMP加了一个壳调用IoAllocateMdl MmProbeAndLockPages MmMapLockedPagesSpecifyCache等函数就挂了，翻了一下WRK里面实现挺复杂的，要是壳用了N多内核函数，模拟是非常苦逼的，这个方式不通用，还有比如驱动壳调用了N多特权指令直接就down了。不过楼主提供了一个思路还是不错的。
pxhb 雪币： 5959 活跃值： (3875) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 422 粉丝 16 关注私信	pxhb 2 2013-5-17 10:44 30 楼 0 看着还原两个字跑进来了
guobing 雪币： 7510 活跃值： (148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 407 粉丝 0 关注私信	guobing 2013-5-17 12:10 31 楼 0 真猛。。。
cvcvxk 雪币： 8861 活跃值： (2369) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2013-5-17 12:33 32 楼 0 确实，但是这个是个思路~
三七六二雪币： 107 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 91 粉丝 0 关注私信	三七六二 2013-5-17 13:05 33 楼 0 楼主强大学习了。。
luzhmu 雪币： 86 活跃值： (903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 645 粉丝 7 关注私信	luzhmu 2013-5-17 17:43 34 楼 0 此贴必火膜拜
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 2013-5-17 22:20 35 楼 0 loadsys思路相当威武！
lynnux 雪币： 3190 活跃值： (1496) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-5-20 08:53 36 楼 0 膜拜！OD加载sys插件有思路了。
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 213 粉丝 0 关注私信	vvking 2013-5-20 09:43 37 楼 0 果断收藏之。。。
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 2013-5-20 11:16 38 楼 0 叼得一逼，膜拜
Sitman 雪币： 235 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	Sitman 2013-5-20 20:48 39 楼 0 驱动脱壳一直没接触过。学习
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 545 粉丝 0 关注私信	mszjk 2013-5-21 09:11 40 楼 0 unvm.rar强大.....
szjohn 雪币： 136 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 114 粉丝 0 关注私信	szjohn 1 2013-5-21 09:21 41 楼 0 顶一下,看来有时间也研究下VM
lynnux 雪币： 3190 活跃值： (1496) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-5-21 12:20 42 楼 0 OD加载驱动插件 HolyShit v0.2：http://bbs.pediy.com/showthread.php?t=170858
JWPL 雪币： 6 活跃值： (676) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 2013-5-29 15:50 43 楼 0 很好，学习一下。
ouyangtian 雪币： 130 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 169 粉丝 0 关注私信	ouyangtian 2013-6-12 22:08 44 楼 0 感谢，学习虚拟机还原
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -1 回帖 172 粉丝 0 关注私信	热火朝天 2013-6-28 23:42 45 楼 0 原来这个在这里，谢啦
安于此生雪币： 2660 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2044 粉丝 185 关注私信	安于此生 34 2014-5-26 15:35 46 楼 0 原来是老汪逆的,nice...
kinghzking 雪币： 4128 活跃值： (829) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 55 粉丝 24 关注私信	kinghzking 2014-9-5 21:32 47 楼 0 1001个赞
JoenChen 雪币： 6991 活跃值： (1222) 能力值： ( LV11，RANK：180 ) 在线值：发帖 10 回帖 168 粉丝 42 关注私信	JoenChen 4 2014-9-5 22:04 48 楼 0 这个确实挺不错的, 挺牛的!
piratelzs 雪币： 236 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 2014-9-12 17:17 49 楼 0 这个逆向推导的思路很启发人，确实牛逼，向牛人学习~~ add eax,ebx -> mov reg_a, eax -> mov ryy\|1, ryy\|3 mov reg_b, ebx mov ryy\|2, ryy [popfd reg_c] calc, ryy\|1, ryy\|2 (之所以定义为calc是因为还有其他计算操作，比如xor等等) add reg_a, reg_b mov ryy\|3, ryy\|1 mov eax, reg_a 还没完全读懂，继续研究……
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 2014-10-24 20:04 50 楼 0 还能说什么！！膜拜
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

疯子

发帖

460

回帖

200

RANK

关注

私信

他的文章

[讨论]冒个泡，注册十一周年了

[原创]fengyue.sys脱壳及vm还原

[原创]asprotect 2.3 vm 还原

[原创]yoda's Protector V1.03.3静态脱壳机(附源码)

[转帖]古诗词穿越对句

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) ◀ 1 2
TPDD 雪币： 2813 活跃值： (1712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	TPDD 2013-5-16 19:47 26 楼 0 太强大了,只能膜拜
cvcvxk 雪币： 8861 活跃值： (2369) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2013-5-16 21:04 27 楼 0 loadsys整个让我眼前一亮！！！跪了~~
tjszlqq 雪币： 774 活跃值： (1516) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 867 粉丝 1 关注私信	tjszlqq 1 2013-5-17 08:03 28 楼 0 这个壳是没有公开的，都被脱了。如果公开的话，可以用加壳程序加一个记事本了解原理，就简单多了。
juedui 雪币： 287 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	juedui 2013-5-17 09:32 29 楼 0 loadsys不通用我用VMP加了一个壳调用IoAllocateMdl MmProbeAndLockPages MmMapLockedPagesSpecifyCache等函数就挂了，翻了一下WRK里面实现挺复杂的，要是壳用了N多内核函数，模拟是非常苦逼的，这个方式不通用，还有比如驱动壳调用了N多特权指令直接就down了。不过楼主提供了一个思路还是不错的。
pxhb 雪币： 5959 活跃值： (3875) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 422 粉丝 16 关注私信	pxhb 2 2013-5-17 10:44 30 楼 0 看着还原两个字跑进来了
guobing 雪币： 7510 活跃值： (148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 407 粉丝 0 关注私信	guobing 2013-5-17 12:10 31 楼 0 真猛。。。
cvcvxk 雪币： 8861 活跃值： (2369) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2013-5-17 12:33 32 楼 0 确实，但是这个是个思路~
三七六二雪币： 107 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 91 粉丝 0 关注私信	三七六二 2013-5-17 13:05 33 楼 0 楼主强大学习了。。
luzhmu 雪币： 86 活跃值： (903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 645 粉丝 7 关注私信	luzhmu 2013-5-17 17:43 34 楼 0 此贴必火膜拜
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 2013-5-17 22:20 35 楼 0 loadsys思路相当威武！
lynnux 雪币： 3190 活跃值： (1496) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-5-20 08:53 36 楼 0 膜拜！OD加载sys插件有思路了。
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 213 粉丝 0 关注私信	vvking 2013-5-20 09:43 37 楼 0 果断收藏之。。。
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 2013-5-20 11:16 38 楼 0 叼得一逼，膜拜
Sitman 雪币： 235 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	Sitman 2013-5-20 20:48 39 楼 0 驱动脱壳一直没接触过。学习
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 545 粉丝 0 关注私信	mszjk 2013-5-21 09:11 40 楼 0 unvm.rar强大.....
szjohn 雪币： 136 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 114 粉丝 0 关注私信	szjohn 1 2013-5-21 09:21 41 楼 0 顶一下,看来有时间也研究下VM
lynnux 雪币： 3190 活跃值： (1496) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2013-5-21 12:20 42 楼 0 OD加载驱动插件 HolyShit v0.2：http://bbs.pediy.com/showthread.php?t=170858
JWPL 雪币： 6 活跃值： (676) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 2013-5-29 15:50 43 楼 0 很好，学习一下。
ouyangtian 雪币： 130 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 169 粉丝 0 关注私信	ouyangtian 2013-6-12 22:08 44 楼 0 感谢，学习虚拟机还原
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -1 回帖 172 粉丝 0 关注私信	热火朝天 2013-6-28 23:42 45 楼 0 原来这个在这里，谢啦
安于此生雪币： 2660 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2044 粉丝 185 关注私信	安于此生 34 2014-5-26 15:35 46 楼 0 原来是老汪逆的,nice...
kinghzking 雪币： 4128 活跃值： (829) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 55 粉丝 24 关注私信	kinghzking 2014-9-5 21:32 47 楼 0 1001个赞
JoenChen 雪币： 6991 活跃值： (1222) 能力值： ( LV11，RANK：180 ) 在线值：发帖 10 回帖 168 粉丝 42 关注私信	JoenChen 4 2014-9-5 22:04 48 楼 0 这个确实挺不错的, 挺牛的!
piratelzs 雪币： 236 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 2014-9-12 17:17 49 楼 0 这个逆向推导的思路很启发人，确实牛逼，向牛人学习~~ add eax,ebx -> mov reg_a, eax -> mov ryy\|1, ryy\|3 mov reg_b, ebx mov ryy\|2, ryy [popfd reg_c] calc, ryy\|1, ryy\|2 (之所以定义为calc是因为还有其他计算操作，比如xor等等) add reg_a, reg_b mov ryy\|3, ryy\|1 mov eax, reg_a 还没完全读懂，继续研究……
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 2014-10-24 20:04 50 楼 0 还能说什么！！膜拜
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复