[原创][五一特别礼物] 著名的反编译 ida Pro 6.5 Plus 来了-安全工具-看雪-安全社区|安全招聘|kanxue.com

[原创][五一特别礼物] 著名的反编译 ida Pro 6.5 Plus 来了

发表于: 2014-4-30 18:15 27126

[原创][五一特别礼物] 著名的反编译 ida Pro 6.5 Plus 来了

dalao

2014-4-30 18:15

27126

查看主题内容

收藏・46

免费・0

支持

最新回复 (87) ◀ 1 2 3 4 ▶
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 26 楼期待正式版啊.需要64位版. 2014-5-1 06:29 0
geekcat 雪币： 172 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	geekcat 27 楼好东西全部收下了谢谢分享 2014-5-1 10:07 0
anycing 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	anycing 28 楼 lz真是实在人，那个真的是广告 2014-5-1 10:22 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 29 楼感谢五一，感谢楼主，感谢ccav，感谢档，感谢**，五一快乐 2014-5-1 10:59 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 30 楼感谢五一，感谢楼主，感谢ccav，感谢档，感谢天hde朝，五一快乐 2014-5-1 11:00 0
青眼白龙雪币： 4247 活跃值： (4959) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	青眼白龙 31 楼不错的东西，收藏一下 2014-5-1 12:12 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 32 楼路过来围观一下 2014-5-1 12:14 0
jingdo 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	jingdo 33 楼感谢楼主分享，五一节快乐 2014-5-1 17:11 0
suwey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	suwey 34 楼会有正式版么 2014-5-1 17:35 0
deadxing 雪币： 20 活跃值： (215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 0 关注私信	deadxing 35 楼非常感谢，，五一快乐~ 2014-5-1 17:55 0
nicotine 雪币： 139 活跃值： (227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	nicotine 36 楼感谢大佬，五一快乐 2014-5-1 18:38 0
zhighest 雪币： 4922 活跃值： (4339) 能力值： ( LV8，RANK：138 ) 在线值：发帖 5 回帖 131 粉丝 6 关注私信	zhighest 37 楼好东西……感谢分享了………… 2014-5-1 20:52 0
coolher 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 37 粉丝 0 关注私信	coolher 38 楼已收藏，感谢CCTV，感谢五一，感谢大佬 2014-5-2 00:37 0
beijingren 雪币： 271 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 118 粉丝 0 关注私信	beijingren 39 楼过节啦！！！ 2014-5-2 08:52 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 40 楼目前还在用老版本！看来是时候换新的来弄一下了 2014-5-2 11:40 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 41 楼五一节快乐 2014-5-2 11:44 0
SnowRen 雪币： 16145 活跃值： (4332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 0 关注私信	SnowRen 42 楼好东西，五一真是快乐！ 2014-5-2 11:47 0
lovecm 雪币： 216 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	lovecm 43 楼五一节快乐！ 2014-5-2 13:49 0
WangXiong 雪币： 5926 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 193 粉丝 0 关注私信	WangXiong 44 楼谢谢！不过总感觉还差些什么.... 2014-5-2 19:14 0
sonyps 雪币： 4650 活跃值： (5286) 能力值： ( LV4，RANK：40 ) 在线值：发帖 33 回帖 371 粉丝 28 关注私信	sonyps 45 楼不行的，有问题的，F5反编译极容易崩溃（6.1Pro及6.4Demo中不会），要是这么简单，6.5Demo我早就发布了。而且你也没修正插件调用IDA.WLL的qstrncpy函数时传空字符串参数会导致崩溃的问题。《IDA Demo6.5破解笔记》破解单步次数限制（jl改为jmp） .text:00491D26 cmp eax, 1F0h .text:00491D2B jl short loc_491D41 .text:00491D2D push offset aThankYouForUsi 启动时弹出About对话框(全部nop) .text:004107A1 push edx .text:004107A2 call sub_548120 .text:004107A7 add esp, 4 过一段时间显示欢迎使用IDA demo版（004130C0处改为retn） .text:004130C0 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 .text:004130C6 FF 25 7C B8 5B 00 jmp ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) 关闭时显示欢迎使用IDA demo版（将mov ecx, dword_6AF998及call ds:?exec@QDialog@QT@@QAEHXZ 语句nop掉） .text:00416047 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 ; _DWORD .text:0041604D FF 15 7C B8 5B 00 call ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) 已经打开一个反汇编，再打开一个新的反汇编显示欢迎使用IDA demo版（同上） .text:00415200 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 ; _DWORD .text:00415206 FF 15 7C B8 5B 00 call ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) .text:0041520C A1 8C 90 5B 00 mov eax, ds:database_flags .text:00415211 83 08 01 or dword ptr [eax], 1 .text:00415214 B0 01 mov al, 1 .text:00415216 C3 retn 关闭当前反汇编显示欢迎使用IDA demo版（同上） .text:00415220 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 ; _DWORD .text:00415226 FF 15 7C B8 5B 00 call ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) .text:0041522C A1 8C 90 5B 00 mov eax, ds:database_flags .text:00415231 83 08 01 or dword ptr [eax], 1 复制代码行数限制（nop掉jge语句） .text:00436977 81 FB 00 01 00 00 cmp ebx, 100h .text:0043697D 0F 8D 13 01 00 00 jge loc_436A96 使用时间只能用一年,也就是2014年3月22日将会过期(004107B1处jz改为jmp) .text:004107AA E8 D1 5A 13 00 call sub_546280 .text:004107AF 84 C0 test al, al .text:004107B1 74 1F jz short loc_4107D2 .text:004107B3 68 38 DB 5B 00 push offset aIconErrorAutoh ; "ICON ERROR\nAUTOHIDE NONE\nSorry, the e"... .text:004107B8 E8 23 D7 FF FF call sub_40DEE0 不能反汇编自己(00428333处jz改为jmp) .text:00428329 E8 22 A3 FF FF call sub_422650 .text:0042832E 83 C4 04 add esp, 4 .text:00428331 84 C0 test al, al .text:00428333 74 14 jz short loc_428349 .text:00428335 68 40 12 5C 00 push offset aIconErrorAut_9 ; "ICON ERROR\nAUTOHIDE NONE\nSorry, the d"... 只能反汇编PE,ELF,Mach-O文件(原因是只尝试加载了那三种类型的Loader,所以改为遍历加载整个loaders目录下的x86或者x64代码模块Loader,由于代码不是一两行,所以实现在IDA6DemoMore.dll中(由于此版IDA修改还不完善，所以不提供)) 最后为了防止EXE镜像在WIN7等环境下被加载到非默认入口地址的其他地方，给Nt_headers->FileHeader.Characteristics加上IMAGE_FILE_RELOCS_STRIPPED位。现在还是用IDA Demo 6.4(IDA v6.4.130702)牢靠点。 http://bbs.pediy.com/showthread.php?t=167109&page=2 2014-5-3 03:23 0
Yecate 雪币： 127 活跃值： (2868) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 260 粉丝 6 关注私信	Yecate 46 楼好东西啊感谢分享 2014-5-3 10:28 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 47 楼这么屌，必须收藏啊 2014-5-3 10:47 0
qiluword 雪币： 225 活跃值： (359) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 213 粉丝 0 关注私信	qiluword 48 楼 F5会发生崩溃。 2014-5-3 11:18 0
Promisejhy 雪币： 27 活跃值： (354) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 91 粉丝 0 关注私信	Promisejhy 49 楼给楼主个赞，非常不错。 2014-5-3 12:46 0
Carlton 雪币： 10 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	Carlton 50 楼先留下以后用 2014-5-3 14:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dalao

发帖

260

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (87) ◀ 1 2 3 4 ▶
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 26 楼期待正式版啊.需要64位版. 2014-5-1 06:29 0
geekcat 雪币： 172 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	geekcat 27 楼好东西全部收下了谢谢分享 2014-5-1 10:07 0
anycing 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	anycing 28 楼 lz真是实在人，那个真的是广告 2014-5-1 10:22 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 29 楼感谢五一，感谢楼主，感谢ccav，感谢档，感谢**，五一快乐 2014-5-1 10:59 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 30 楼感谢五一，感谢楼主，感谢ccav，感谢档，感谢天hde朝，五一快乐 2014-5-1 11:00 0
青眼白龙雪币： 4247 活跃值： (4959) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	青眼白龙 31 楼不错的东西，收藏一下 2014-5-1 12:12 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 32 楼路过来围观一下 2014-5-1 12:14 0
jingdo 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	jingdo 33 楼感谢楼主分享，五一节快乐 2014-5-1 17:11 0
suwey 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	suwey 34 楼会有正式版么 2014-5-1 17:35 0
deadxing 雪币： 20 活跃值： (215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 0 关注私信	deadxing 35 楼非常感谢，，五一快乐~ 2014-5-1 17:55 0
nicotine 雪币： 139 活跃值： (227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	nicotine 36 楼感谢大佬，五一快乐 2014-5-1 18:38 0
zhighest 雪币： 4922 活跃值： (4339) 能力值： ( LV8，RANK：138 ) 在线值：发帖 5 回帖 131 粉丝 6 关注私信	zhighest 37 楼好东西……感谢分享了………… 2014-5-1 20:52 0
coolher 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 37 粉丝 0 关注私信	coolher 38 楼已收藏，感谢CCTV，感谢五一，感谢大佬 2014-5-2 00:37 0
beijingren 雪币： 271 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 118 粉丝 0 关注私信	beijingren 39 楼过节啦！！！ 2014-5-2 08:52 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 40 楼目前还在用老版本！看来是时候换新的来弄一下了 2014-5-2 11:40 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 41 楼五一节快乐 2014-5-2 11:44 0
SnowRen 雪币： 16145 活跃值： (4332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 0 关注私信	SnowRen 42 楼好东西，五一真是快乐！ 2014-5-2 11:47 0
lovecm 雪币： 216 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	lovecm 43 楼五一节快乐！ 2014-5-2 13:49 0
WangXiong 雪币： 5926 活跃值： (212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 193 粉丝 0 关注私信	WangXiong 44 楼谢谢！不过总感觉还差些什么.... 2014-5-2 19:14 0
sonyps 雪币： 4650 活跃值： (5286) 能力值： ( LV4，RANK：40 ) 在线值：发帖 33 回帖 371 粉丝 28 关注私信	sonyps 45 楼不行的，有问题的，F5反编译极容易崩溃（6.1Pro及6.4Demo中不会），要是这么简单，6.5Demo我早就发布了。而且你也没修正插件调用IDA.WLL的qstrncpy函数时传空字符串参数会导致崩溃的问题。《IDA Demo6.5破解笔记》破解单步次数限制（jl改为jmp） .text:00491D26 cmp eax, 1F0h .text:00491D2B jl short loc_491D41 .text:00491D2D push offset aThankYouForUsi 启动时弹出About对话框(全部nop) .text:004107A1 push edx .text:004107A2 call sub_548120 .text:004107A7 add esp, 4 过一段时间显示欢迎使用IDA demo版（004130C0处改为retn） .text:004130C0 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 .text:004130C6 FF 25 7C B8 5B 00 jmp ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) 关闭时显示欢迎使用IDA demo版（将mov ecx, dword_6AF998及call ds:?exec@QDialog@QT@@QAEHXZ 语句nop掉） .text:00416047 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 ; _DWORD .text:0041604D FF 15 7C B8 5B 00 call ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) 已经打开一个反汇编，再打开一个新的反汇编显示欢迎使用IDA demo版（同上） .text:00415200 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 ; _DWORD .text:00415206 FF 15 7C B8 5B 00 call ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) .text:0041520C A1 8C 90 5B 00 mov eax, ds:database_flags .text:00415211 83 08 01 or dword ptr [eax], 1 .text:00415214 B0 01 mov al, 1 .text:00415216 C3 retn 关闭当前反汇编显示欢迎使用IDA demo版（同上） .text:00415220 8B 0D 98 F9 6A 00 mov ecx, dword_6AF998 ; _DWORD .text:00415226 FF 15 7C B8 5B 00 call ds:?exec@QDialog@QT@@QAEHXZ ; QT::QDialog::exec(void) .text:0041522C A1 8C 90 5B 00 mov eax, ds:database_flags .text:00415231 83 08 01 or dword ptr [eax], 1 复制代码行数限制（nop掉jge语句） .text:00436977 81 FB 00 01 00 00 cmp ebx, 100h .text:0043697D 0F 8D 13 01 00 00 jge loc_436A96 使用时间只能用一年,也就是2014年3月22日将会过期(004107B1处jz改为jmp) .text:004107AA E8 D1 5A 13 00 call sub_546280 .text:004107AF 84 C0 test al, al .text:004107B1 74 1F jz short loc_4107D2 .text:004107B3 68 38 DB 5B 00 push offset aIconErrorAutoh ; "ICON ERROR\nAUTOHIDE NONE\nSorry, the e"... .text:004107B8 E8 23 D7 FF FF call sub_40DEE0 不能反汇编自己(00428333处jz改为jmp) .text:00428329 E8 22 A3 FF FF call sub_422650 .text:0042832E 83 C4 04 add esp, 4 .text:00428331 84 C0 test al, al .text:00428333 74 14 jz short loc_428349 .text:00428335 68 40 12 5C 00 push offset aIconErrorAut_9 ; "ICON ERROR\nAUTOHIDE NONE\nSorry, the d"... 只能反汇编PE,ELF,Mach-O文件(原因是只尝试加载了那三种类型的Loader,所以改为遍历加载整个loaders目录下的x86或者x64代码模块Loader,由于代码不是一两行,所以实现在IDA6DemoMore.dll中(由于此版IDA修改还不完善，所以不提供)) 最后为了防止EXE镜像在WIN7等环境下被加载到非默认入口地址的其他地方，给Nt_headers->FileHeader.Characteristics加上IMAGE_FILE_RELOCS_STRIPPED位。现在还是用IDA Demo 6.4(IDA v6.4.130702)牢靠点。 http://bbs.pediy.com/showthread.php?t=167109&page=2 2014-5-3 03:23 0
Yecate 雪币： 127 活跃值： (2868) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 260 粉丝 6 关注私信	Yecate 46 楼好东西啊感谢分享 2014-5-3 10:28 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 47 楼这么屌，必须收藏啊 2014-5-3 10:47 0
qiluword 雪币： 225 活跃值： (359) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 213 粉丝 0 关注私信	qiluword 48 楼 F5会发生崩溃。 2014-5-3 11:18 0
Promisejhy 雪币： 27 活跃值： (354) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 91 粉丝 0 关注私信	Promisejhy 49 楼给楼主个赞，非常不错。 2014-5-3 12:46 0
Carlton 雪币： 10 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 44 粉丝 0 关注私信	Carlton 50 楼先留下以后用 2014-5-3 14:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复