能力值:
( LV2,RANK:10 )
|
-
-
2 楼
 你最终的目标不是脱加密壳么?
|
能力值:
( LV3,RANK:30 )
|
-
-
3 楼
脱壳归根结底还是在逆向
个人觉得 能独立脱强壳=深厚的逆向水平+大量脱壳经验
就算是穿山甲,VM也要自己一步一步的跟,当然脱壳的经验这时候就发挥作用了,能让你快速得出脱壳方法而不必把整个壳的仔细流程跟出来
以上只是是本菜鸟在UPK上看到的经验,总结一下而已,大牛勿喷
勿在浮沙筑高台
|
能力值:
( LV3,RANK:30 )
|
-
-
4 楼
这几个壳原理一样的,只要你能力到达可以完全靠一人之力解开其中一个(VMP TMD/WL SE TTP)
那么其它的也就是再损耗些时间去"了解了解",“ 还真什么大的分别 ”
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
嗯 感谢LS个各位高人指教 我还是一步一个脚印 努力吧
|
能力值:
( LV5,RANK:60 )
|
-
-
6 楼
yingyue前辈,我是你的粉丝!
之前你告诉我怎么分析aspr,不过我还是没有分析出来。虽然按照教程贴,能修复好IAT,但是原理始终不能理解,看到别人的帖子都是一带而过,自己分析不清。在处理IAT的那段循环,仔细看了下,类似
00AA6D44 8A07 mov al, [edi]
00AA6D46 8D0440 lea eax, [eax+eax*2]
00AA6D49 8B6C83 68 mov ebp, [ebx+eax*4+68]
00AA6D4D 8BC6 mov eax, esi
00AA6D4F FFD5 call ebp
ebp的地方,里面有大量的混淆指令,即不是简单的花指令也不是vm,很难分析,手动还原了几个小时就放弃了,容易出错,而且混淆的太多了,这种call还有几个。这种情况应该怎么办呢,只去观察参数和返回值,感觉看不出任何意义啊。
后来研究了下armadillo,这个壳起初的帖子(3.77版)全是强制解压子进程的代码,然后修复。后来fly的帖子(4.40版本)在父进程准备调试子进程的时候就分离,让od挂上,patch掉IAT的处理,修改一个call的参数,让页面解压,然后是修复cc断点。
是不是4.40版本对前一种强制解压的处理方法加入了反调试,我用强制解压的方法测试4.40,一分离就挂了。分离之后看到子进程的代码,就能学习脚本了,但是还是不知道是反调试存在,还是4.40我强制解压出现错误。不过强制解压在子进程oep处的代码是没有问题的,可能存在反调试的代码在一个线程函数中,分析不清。。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
脱壳需要很强的耐力
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
LZ 加油!!!
|
|
|
|
