unpack it 4-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

unpack it 4

发表于: 2005-11-1 17:01 10536

unpack it 4

q3 watcher 活跃值

2005-11-1 17:01

10536

凑个热闹,做了一些更新,体积小了些.没运行之前随便改,没有CRC校验,只要运行起来干什么都要小心一些.不知道有IC的情况会发生什么,运算的东西多了点,在高速TTL缓存不足的CPU下可能会卡一下.

月读选项有问题,删,晚上放学再说.
问题暂时解决.
附件:regclean.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (39) 1 2 ▶
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2 楼不敢下 2005-11-1 17:12 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 3 楼怕送死还是不看为好 ! 警告有心脏病的请勿接近 2005-11-1 21:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 jingulong 2005-11-1 22:07 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 5 楼路过 2005-11-1 22:21 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼原来是马家庄庄主，久仰久仰 2005-11-1 22:29 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 7 楼最初由 fly 发布 ...发贴前请看... ........................ 5、请不要点将，也不要要求私下答复 ........................ 2005-11-1 23:14 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼非将 2005-11-1 23:19 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 9 楼 2005-11-1 23:30 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 10 楼都在研究TLS 2005-11-2 11:22 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 11 楼什么东东? 2005-11-2 12:46 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 12 楼 jingulong果然潜水有深度里面用的东西都是从论坛的精华帖子里抄的,和老师叫写作文时抱着XX大全抄是一个道理,只要可抄的版本足够多就OK了.千年杀是看动画片时学的词,如果感兴趣去看火影忍者,除了这个还有别的几个,就是不知道是中千年杀的多那,还是中月读的多. 2005-11-2 16:29 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 13 楼恩,和我想象的差不多,人都被恶心跑了. 2005-11-4 16:27 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 14 楼很可惜，运行不了真是天下无敌 2005-11-4 16:52 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 15 楼最初由 Themida 发布很可惜，运行不了真是天下无敌有Themida运行时自然不会运行,好象有EncryptPE也不行,有免疫007更不行,可能还和别的有冲突,比如一些杀毒软件,凡是有些东西被HOOK的一率不放行.对了,如果有Themida先于程序运行的话应该是会发生和有SoftICE时同样的事情.. 2005-11-4 16:59 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 16 楼 TO goodmorning:好象是写错了一句，现在改过来了，再试试． :D 2005-11-5 18:27 0
+dEMON 雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 80 粉丝 0 关注私信	+dEMON 1 17 楼电脑经不起折腾...要重启... 2005-11-5 20:04 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 18 楼没有驱动,没有注入,没有HOOK,能怎么样?遇到SoftICE或Themida直接灭世重生也实在是没有办法,SoftICE虽然能被检测出来,但检测SoftICE的代码更容易被检测出来,而用Themida给工具加壳就可以躲过很多检测.至于其他的,可以试试如月写的插件,虽然不能解决所有问题,但可以轻松的多.附件:wmos.rar 2005-11-6 08:57 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 19 楼什么东西？死机了！ 2005-11-6 09:47 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 20 楼晕啊，杀PEDI了？虚拟内存过低，死机了。 2005-11-9 11:43 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 21 楼 PEDI?PEID吧,实在是冤枉啊,我还没疯狂到哪个程度,PEID我还要留着用那,只要没用插件查OEP就不会有问题的.我说了运行起来干什么都小心点,你可能开什么别的了. 2005-11-9 16:57 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 22 楼最初由 q3 watcher 发布没有驱动,没有注入,没有HOOK,能怎么样?遇到SoftICE或Themida直接灭世重生也实在是没有办法,SoftICE虽然能被检测出来,但检测SoftICE的代码更容易被检测出来,而用Themida给工具加壳就可以躲过很多检测.至于其他的,可以试试如月写的插件,虽然不能解决所有问题,但可以轻松的多.附件:wmos.rar 躲不过 EXECryptor 2005-11-9 20:15 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 23 楼如月姐姐写的,我只是转一下. 作者原话:写着玩的，我自己都不用防 IsDebuggerProeset RtlGetNtGlobalFlags GetProcessHeap返回值+0C的地方 RtlAllocateHeap(包括GlobalAlloc, LocalAlloc) 改 UnhandledExceptionFilter BlockInput Process32Next CsrGetProcessId 设 TlsCallBack入口提示 EXECryptor用的是+10的地方,自然过不了,我觉得还是用来脱我的这个好一些吧,她防的改的提醒的我都用了，可是一个都没拉下，不过没防我也用了，就是不知道在蛋蛋的机子上能不能跑的起来． 2005-11-9 20:32 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 24 楼我想如果调试器模拟CPU去执行程序的话，就是调试器执行后，把自己的代码VirtualAlloc到其他地方去，顺手帮自己填充一下IAT，然后把400000h后面的那一块原先的地方VirtualProtect一下换个属性（比如PAGE_EXECUTE_READWRITE之类的），然后调试时映射被调试的文件到自己的内存中（帮其初始化一下），然后一条条的解析程序指令模拟执行，要是能这样的话大概除了时间检测之外不会有什么其他的方法吧。 2005-11-10 22:52 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 25 楼从道理上讲不管怎样努力,在调试的时候都不会一帆风顺.应该是跑不了几步就会有麻烦,然后就需要手动分析,于是目的也就达到了.手指是可以锻炼的,但内脏是不行的.通过精神压制的办法,对脱壳者的视觉细胞和神经细胞进行杀伤,大多数人的情绪很快就会由烦躁变成急噪,同时心脏血管也会承受着相应的压力,在这种情况下人很容易犯错,于是就更走不过去了.就算有沉的住气的最后挺过来了,一定会有被耍的感觉,不会留下什么好印象的,下会再碰见就会觉得恶心.这也可能就是没什么人玩的原因. 2005-11-11 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

q3 watcher

发帖

902

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (39) 1 2 ▶
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 2 楼不敢下 2005-11-1 17:12 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 3 楼怕送死还是不看为好 ! 警告有心脏病的请勿接近 2005-11-1 21:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 jingulong 2005-11-1 22:07 0
Immlep 雪币： 298 活跃值： (445) 能力值： ( LV12，RANK：450 ) 在线值：发帖 28 回帖 241 粉丝 0 关注私信	Immlep 11 5 楼路过 2005-11-1 22:21 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼原来是马家庄庄主，久仰久仰 2005-11-1 22:29 0
jingulong 雪币： 266 活跃值： (269) 能力值： ( LV9，RANK：210 ) 在线值：发帖 18 回帖 285 粉丝 5 关注私信	jingulong 5 7 楼最初由 fly 发布 ...发贴前请看... ........................ 5、请不要点将，也不要要求私下答复 ........................ 2005-11-1 23:14 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼非将 2005-11-1 23:19 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 9 楼 2005-11-1 23:30 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 10 楼都在研究TLS 2005-11-2 11:22 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 11 楼什么东东? 2005-11-2 12:46 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 12 楼 jingulong果然潜水有深度里面用的东西都是从论坛的精华帖子里抄的,和老师叫写作文时抱着XX大全抄是一个道理,只要可抄的版本足够多就OK了.千年杀是看动画片时学的词,如果感兴趣去看火影忍者,除了这个还有别的几个,就是不知道是中千年杀的多那,还是中月读的多. 2005-11-2 16:29 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 13 楼恩,和我想象的差不多,人都被恶心跑了. 2005-11-4 16:27 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 14 楼很可惜，运行不了真是天下无敌 2005-11-4 16:52 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 15 楼最初由 Themida 发布很可惜，运行不了真是天下无敌有Themida运行时自然不会运行,好象有EncryptPE也不行,有免疫007更不行,可能还和别的有冲突,比如一些杀毒软件,凡是有些东西被HOOK的一率不放行.对了,如果有Themida先于程序运行的话应该是会发生和有SoftICE时同样的事情.. 2005-11-4 16:59 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 16 楼 TO goodmorning:好象是写错了一句，现在改过来了，再试试． :D 2005-11-5 18:27 0
+dEMON 雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 80 粉丝 0 关注私信	+dEMON 1 17 楼电脑经不起折腾...要重启... 2005-11-5 20:04 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 18 楼没有驱动,没有注入,没有HOOK,能怎么样?遇到SoftICE或Themida直接灭世重生也实在是没有办法,SoftICE虽然能被检测出来,但检测SoftICE的代码更容易被检测出来,而用Themida给工具加壳就可以躲过很多检测.至于其他的,可以试试如月写的插件,虽然不能解决所有问题,但可以轻松的多.附件:wmos.rar 2005-11-6 08:57 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 19 楼什么东西？死机了！ 2005-11-6 09:47 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 20 楼晕啊，杀PEDI了？虚拟内存过低，死机了。 2005-11-9 11:43 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 21 楼 PEDI?PEID吧,实在是冤枉啊,我还没疯狂到哪个程度,PEID我还要留着用那,只要没用插件查OEP就不会有问题的.我说了运行起来干什么都小心点,你可能开什么别的了. 2005-11-9 16:57 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 22 楼最初由 q3 watcher 发布没有驱动,没有注入,没有HOOK,能怎么样?遇到SoftICE或Themida直接灭世重生也实在是没有办法,SoftICE虽然能被检测出来,但检测SoftICE的代码更容易被检测出来,而用Themida给工具加壳就可以躲过很多检测.至于其他的,可以试试如月写的插件,虽然不能解决所有问题,但可以轻松的多.附件:wmos.rar 躲不过 EXECryptor 2005-11-9 20:15 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 23 楼如月姐姐写的,我只是转一下. 作者原话:写着玩的，我自己都不用防 IsDebuggerProeset RtlGetNtGlobalFlags GetProcessHeap返回值+0C的地方 RtlAllocateHeap(包括GlobalAlloc, LocalAlloc) 改 UnhandledExceptionFilter BlockInput Process32Next CsrGetProcessId 设 TlsCallBack入口提示 EXECryptor用的是+10的地方,自然过不了,我觉得还是用来脱我的这个好一些吧,她防的改的提醒的我都用了，可是一个都没拉下，不过没防我也用了，就是不知道在蛋蛋的机子上能不能跑的起来． 2005-11-9 20:32 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 24 楼我想如果调试器模拟CPU去执行程序的话，就是调试器执行后，把自己的代码VirtualAlloc到其他地方去，顺手帮自己填充一下IAT，然后把400000h后面的那一块原先的地方VirtualProtect一下换个属性（比如PAGE_EXECUTE_READWRITE之类的），然后调试时映射被调试的文件到自己的内存中（帮其初始化一下），然后一条条的解析程序指令模拟执行，要是能这样的话大概除了时间检测之外不会有什么其他的方法吧。 2005-11-10 22:52 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 25 楼从道理上讲不管怎样努力,在调试的时候都不会一帆风顺.应该是跑不了几步就会有麻烦,然后就需要手动分析,于是目的也就达到了.手指是可以锻炼的,但内脏是不行的.通过精神压制的办法,对脱壳者的视觉细胞和神经细胞进行杀伤,大多数人的情绪很快就会由烦躁变成急噪,同时心脏血管也会承受着相应的压力,在这种情况下人很容易犯错,于是就更走不过去了.就算有沉的住气的最后挺过来了,一定会有被耍的感觉,不会留下什么好印象的,下会再碰见就会觉得恶心.这也可能就是没什么人玩的原因. 2005-11-11 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复