[原创]fengyue.sys脱壳及vm还原-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]fengyue.sys脱壳及vm还原

发表于: 2013-5-15 22:02 39224

[原创]fengyue.sys脱壳及vm还原

疯子

2013-5-15 22:02

39224

查看主题内容

收藏・90

免费・5

支持

最新回复 (49) ◀ 1 2
TPDD 雪币： 3532 活跃值： (2402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	TPDD 26 楼太强大了,只能膜拜 2013-5-16 19:47 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 27 楼 loadsys整个让我眼前一亮！！！跪了~~ 2013-5-16 21:04 0
tjszlqq 雪币： 1346 活跃值： (2331) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 885 粉丝 2 关注私信	tjszlqq 1 28 楼这个壳是没有公开的，都被脱了。如果公开的话，可以用加壳程序加一个记事本了解原理，就简单多了。 2013-5-17 08:03 0
juedui 雪币： 287 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	juedui 29 楼 loadsys不通用我用VMP加了一个壳调用IoAllocateMdl MmProbeAndLockPages MmMapLockedPagesSpecifyCache等函数就挂了，翻了一下WRK里面实现挺复杂的，要是壳用了N多内核函数，模拟是非常苦逼的，这个方式不通用，还有比如驱动壳调用了N多特权指令直接就down了。不过楼主提供了一个思路还是不错的。 2013-5-17 09:32 0
pxhb 雪币： 6566 活跃值： (4526) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 30 楼看着还原两个字跑进来了 2013-5-17 10:44 0
guobing 雪币： 11111 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 31 楼真猛。。。 2013-5-17 12:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 32 楼确实，但是这个是个思路~ 2013-5-17 12:33 0
三七六二雪币： 107 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 91 粉丝 0 关注私信	三七六二 33 楼楼主强大学习了。。 2013-5-17 13:05 0
luzhmu 雪币： 86 活跃值： (1183) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 650 粉丝 7 关注私信	luzhmu 34 楼此贴必火膜拜 2013-5-17 17:43 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 35 楼 loadsys思路相当威武！ 2013-5-17 22:20 0
lynnux 雪币： 3542 活跃值： (1867) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 36 楼膜拜！OD加载sys插件有思路了。 2013-5-20 08:53 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 37 楼果断收藏之。。。 2013-5-20 09:43 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 38 楼叼得一逼，膜拜 2013-5-20 11:16 0
Sitman 雪币： 235 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	Sitman 39 楼驱动脱壳一直没接触过。学习 2013-5-20 20:48 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 40 楼 unvm.rar强大..... 2013-5-21 09:11 0
szjohn 雪币： 136 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 114 粉丝 0 关注私信	szjohn 1 41 楼顶一下,看来有时间也研究下VM 2013-5-21 09:21 0
lynnux 雪币： 3542 活跃值： (1867) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 42 楼 OD加载驱动插件 HolyShit v0.2：http://bbs.pediy.com/showthread.php?t=170858 2013-5-21 12:20 0
JWPL 雪币： 5 活跃值： (1131) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 43 楼很好，学习一下。 2013-5-29 15:50 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 44 楼感谢，学习虚拟机还原 2013-6-12 22:08 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 45 楼原来这个在这里，谢啦 2013-6-28 23:42 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 46 楼原来是老汪逆的,nice... 2014-5-26 15:35 0
kinghzking 雪币： 4128 活跃值： (869) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 73 粉丝 26 关注私信	kinghzking 47 楼 1001个赞 2014-9-5 21:32 0
JoenChen 雪币： 6976 活跃值： (1477) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 171 粉丝 45 关注私信	JoenChen 4 48 楼这个确实挺不错的, 挺牛的! 2014-9-5 22:04 0
piratelzs 雪币： 236 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 49 楼这个逆向推导的思路很启发人，确实牛逼，向牛人学习~~ add eax,ebx -> mov reg_a, eax -> mov ryy\|1, ryy\|3 mov reg_b, ebx mov ryy\|2, ryy [popfd reg_c] calc, ryy\|1, ryy\|2 (之所以定义为calc是因为还有其他计算操作，比如xor等等) add reg_a, reg_b mov ryy\|3, ryy\|1 mov eax, reg_a 还没完全读懂，继续研究…… 2014-9-12 17:17 0
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 50 楼还能说什么！！膜拜 2014-10-24 20:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

疯子

发帖

461

回帖

200

RANK

关注

私信

他的文章

[讨论]冒个泡，注册十一周年了 6858
[原创]fengyue.sys脱壳及vm还原 39224
[原创]asprotect 2.3 vm 还原 11372
[原创]yoda's Protector V1.03.3静态脱壳机(附源码) 104610
[转帖]古诗词穿越对句 3650

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) ◀ 1 2
TPDD 雪币： 3532 活跃值： (2402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	TPDD 26 楼太强大了,只能膜拜 2013-5-16 19:47 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 27 楼 loadsys整个让我眼前一亮！！！跪了~~ 2013-5-16 21:04 0
tjszlqq 雪币： 1346 活跃值： (2331) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 885 粉丝 2 关注私信	tjszlqq 1 28 楼这个壳是没有公开的，都被脱了。如果公开的话，可以用加壳程序加一个记事本了解原理，就简单多了。 2013-5-17 08:03 0
juedui 雪币： 287 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	juedui 29 楼 loadsys不通用我用VMP加了一个壳调用IoAllocateMdl MmProbeAndLockPages MmMapLockedPagesSpecifyCache等函数就挂了，翻了一下WRK里面实现挺复杂的，要是壳用了N多内核函数，模拟是非常苦逼的，这个方式不通用，还有比如驱动壳调用了N多特权指令直接就down了。不过楼主提供了一个思路还是不错的。 2013-5-17 09:32 0
pxhb 雪币： 6566 活跃值： (4526) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 30 楼看着还原两个字跑进来了 2013-5-17 10:44 0
guobing 雪币： 11111 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 31 楼真猛。。。 2013-5-17 12:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 32 楼确实，但是这个是个思路~ 2013-5-17 12:33 0
三七六二雪币： 107 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 91 粉丝 0 关注私信	三七六二 33 楼楼主强大学习了。。 2013-5-17 13:05 0
luzhmu 雪币： 86 活跃值： (1183) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 650 粉丝 7 关注私信	luzhmu 34 楼此贴必火膜拜 2013-5-17 17:43 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 35 楼 loadsys思路相当威武！ 2013-5-17 22:20 0
lynnux 雪币： 3542 活跃值： (1867) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 36 楼膜拜！OD加载sys插件有思路了。 2013-5-20 08:53 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 37 楼果断收藏之。。。 2013-5-20 09:43 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 38 楼叼得一逼，膜拜 2013-5-20 11:16 0
Sitman 雪币： 235 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	Sitman 39 楼驱动脱壳一直没接触过。学习 2013-5-20 20:48 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 40 楼 unvm.rar强大..... 2013-5-21 09:11 0
szjohn 雪币： 136 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 114 粉丝 0 关注私信	szjohn 1 41 楼顶一下,看来有时间也研究下VM 2013-5-21 09:21 0
lynnux 雪币： 3542 活跃值： (1867) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 17 关注私信	lynnux 42 楼 OD加载驱动插件 HolyShit v0.2：http://bbs.pediy.com/showthread.php?t=170858 2013-5-21 12:20 0
JWPL 雪币： 5 活跃值： (1131) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 43 楼很好，学习一下。 2013-5-29 15:50 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 44 楼感谢，学习虚拟机还原 2013-6-12 22:08 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 45 楼原来这个在这里，谢啦 2013-6-28 23:42 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 46 楼原来是老汪逆的,nice... 2014-5-26 15:35 0
kinghzking 雪币： 4128 活跃值： (869) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 73 粉丝 26 关注私信	kinghzking 47 楼 1001个赞 2014-9-5 21:32 0
JoenChen 雪币： 6976 活跃值： (1477) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 171 粉丝 45 关注私信	JoenChen 4 48 楼这个确实挺不错的, 挺牛的! 2014-9-5 22:04 0
piratelzs 雪币： 236 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 49 楼这个逆向推导的思路很启发人，确实牛逼，向牛人学习~~ add eax,ebx -> mov reg_a, eax -> mov ryy\|1, ryy\|3 mov reg_b, ebx mov ryy\|2, ryy [popfd reg_c] calc, ryy\|1, ryy\|2 (之所以定义为calc是因为还有其他计算操作，比如xor等等) add reg_a, reg_b mov ryy\|3, ryy\|1 mov eax, reg_a 还没完全读懂，继续研究…… 2014-9-12 17:17 0
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 50 楼还能说什么！！膜拜 2014-10-24 20:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复