-
-
unpack it 5
-
发表于: 2006-1-13 20:40
-
增加原因不明ANTI,极端处理,并修正N多错误,但并不表示问题少了,只能说明潜在问题的基数。这次输入表到是加密了,直接用RECImport肯定是搞不定,但不跟踪的话RECImport根本是用不了的,所以没什么大用,多耽误点时间就是了。极端处理在某些程序上有系统兼容问题,但这个东西是拿来玩的,和拿来用不是一回事,不必太在意。跟踪用OD就好了,不要用IC,也不要用themida加壳的OD,否则...... 
附件:winmine.rar
附件:winmine.rar
[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
附对原来被脱壳情况的分析:
脱者1:jingulong 脱壳方式:秒杀 分析:为什么会被秒真的是很难理解,我觉得即便是jingulong也应该被粘住差不多半天的时间才对。也许可能的情况是当jingulong用OD脱壳的时候发现乱七八糟的东西很烦人,于是改用IC+看图认字的方法来躲避大部分ANTI,并迅速做出分析。 可能的解决方法:封掉IC,准备许多画片。 脱者2:wangli_com 脱壳方式:全面跟踪 分析:没什么可多说的,wangli_com的心理素质非长人可比。但原来哪个严重的问题,不能代表全部,从文章来看wangli_com在脱壳的过程中耗费了大量的精力和时间,并且并没有看清楚所有的东西,着可能是因为前后拖的时间过长,造成了思路上的不连续,从这一点上看保护还是成功的。但我对他脱壳后心情愉快这一点很是不解,正常情况下回顾整个过程因该是是被骗的感觉更加重一些,莫非时间可以冲淡感觉? 可能的解决方法:wangli_com可以忍并不代表所有人都能忍,文章越长可以照着作的人就越少。长一点,再长一点。
|
|
|
|
|
|
|
|
|
|
|
|
可能是HOOK检测的问题,比如有的杀毒软件会HOOK LoadLibraryA,变成这样,7C882FC4 >- E9 17D7406F jmp EBC906E0.
对于这种情况我已经做了修正,但如果后面出现CC的话还是不行的.之前已经找不少人测试过了,基本上都能运行,有一人挂了是因为他中了用007加壳的灰鸽子,也是因为HOOK检测挂的. 拿来玩的东西的确没什么实用价值,heXer这么说才说明设计标准达到了.一般情况下水平越高应该越觉的恶心,因为没啥技术含量,却没什么快捷的分析方法,硬着头皮上又要消耗大量精力,有这么多的时间可以干好多别的事情.如果每个人都能这么想那就完美了.
|
|
|
|
|
|
|
|
|
|
|
|
把瞎猜的东西写出来的目的已经实现了,终于有一部分是按照预测的情况进行了.
|
|
|
|
|
|
最初由 loveboom 发布 惭愧,看来我是精力过剩了 
|
|
|
|
|
|
跑不起来!!
|
|
|
XP2 跑不起来
|
|
|
为啥SP2会挂,自始至终是都是在SP2下进行的,之前测试了几十台机器+虚拟机没什么问题啊.莫非有些东西会因为安装不同的软件而改变?
|
|
|
最初由 loveboom 发布 老大的分析非常准确,我的确是自娱自乐,慢慢寒假日我总要玩点什么吧,对于我来说这个东西和WC或CS没什么大区别,到论坛来发布只是为了和各位老大聊聊天,所以故意写了一些东西让潜水王子现身。 不过壳本身的不稳定性造成了它的性质不会因为是否公布主程序而改变,即使公布了也将只能停留在笔记本、扫雷这样的娱乐水平。只是会多我一个牺牲品,让某些人的样本库里又多了个标本,仅此而已。虽然是娱乐产品,并且大部分的东西是从各个地方盗版来的,但也还是有一些可以研究的地方。比如那个谁提出的定律不并不一定就对,最起码不完全对;那个谁没有找到的并不=没有,虽然要付出一些代价;一种没有得到广泛运用的反IC手段,即使它的结果有些过分;但关键是要做个思路上的调整,即并不关心脱壳的人具体怎么做,而是关心他在过程中怎么想。通过设计心理陷阱来把脱壳者引入心理误区,用代码影响他的心情,让心情改变他的行为,叫行为来决定事情的结果。也许放弃的原因可以找出很多种,但结果是一样的,而且这种结果还和别人没什么关系,因为是自己选择的。持久战与消耗战是非常行之有效的方法,人本身的弱点要比程序上的弱点更容易把握,变技术压制为精神压制,变不能脱壳为不愿脱壳才是真正要达到的目的。 |
|
|
想了想不能运行的原因大概有:
1:反HOOK的打击面过广 2:几种原因不明的ANTI和某些程序有冲突,比如QQ的某些插件 3:时间校验和线程同步上还是有问题 问题复杂话了,不管了.
|
|
|
请问q3 watcher用的是什么CPU?
实在不行俺要换个CPU试试看 
|
|
|
|
