[求助]一款新壳，我脱了半天，是没脱下来。大神们。可以看看。挺有意思滴。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
destnity 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 103 粉丝 1 关注私信	destnity 2 楼大神，这是啥龟壳？ 2017-3-23 14:00 0
destnity 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 103 粉丝 1 关注私信	destnity 3 楼查过吗? 2017-3-23 14:00 0
风影残烛雪币： 46 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	风影残烛 4 楼 destnity 大神，这是啥龟壳？目前任何PE工具，查不到！！ 2017-3-23 14:04 0
destnity 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 103 粉丝 1 关注私信	destnity 5 楼 (⊙o⊙)哦 2017-3-23 14:36 0
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 6 楼 bp kernel32.VirtualAlloc 101A4115 nop //IAT encode 101A41D0 jmp oep F7 Dump Fix Iat 因为是DLL所以需要修复重定位.ReloX这个东西可以修复网上教程很多..我就不发了.. 挺简单的一个壳.. 2017-3-23 23:59 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 7 楼楼上的厉害 2017-3-26 13:55 0
shenpengz 雪币： 89 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 77 粉丝 0 关注私信	shenpengz 8 楼膜拜我竹子师傅！ 2017-4-1 17:49 0
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 9 楼 bambooqj bp  kernel32.VirtualAlloc101A4115   nop     //IAT encode101A41D0 ... 载入后会检测到OD。如何破，需要重新配置SOD？ 2017-4-23 17:30 0
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 10 楼 VirtualAlloc 推荐你直接断这个.然后重载..别跑起来就好;他tls有处理东西.所以你需要单独去调试下tls.并不是换个OD就好的事情.断下后按照我的那个操作调试即可. 2017-4-24 18:23 0
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 11 楼好的，谢谢。TLS回调函数是在线程执行前调用。该动态库（加壳）不包含TLS段，在壳解密代码后开启新线程前调用TLS？测试了一下，3次VirtualAlloc断点后，程序被检测到OD存在。无法执行到第二步(101A4115 nop //IAT encode)的操作。另外，查资料说SOD中包含了TLS的相关处理，仍然被检测出是检测方法升级，还是存在新的检测手段？ 2017-4-25 08:37 0
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 12 楼找了下。再第二次VirtualAlloc断点返回后（地址：101A7CD1开始），开始检测是否存在调试器。 101A7D16 E8 28050000 call ajin.101A8243 // 解码检测函数。 // ebp+4b31 的内存段存储检测函数 // 以下为调用CheckRemoteDebuggerPresent检查是否被调试。【ebp+4b67】存储是否调试标识。我OD就是在这个地方被检测到。（这些函数应该被anti了啊，不知道是不是SOD没配置好？） 101A7DA0 FF95 354B0000 call dword ptr ss:[ebp+4B35] ; KERNEL32.CheckRemoteDebuggerPresent 101A8A70 76AEE3D0 jmp 到 KERNELBA.IsDebuggerPresent 101A8A74 76AF2B80 KERNEL32.CheckRemoteDebuggerPresent 101A8A78 76AEDA90 KERNEL32.GetVersionExA 101A8A7C 76AF98B0 jmp 到 KERNELBA.CreateFileA 101A8A80 76AE4820 KERNEL32.GetCurrentProcessId 101A7D31 8903 mov dword ptr ds:[ebx],eax ; KERNEL32.CheckRemoteDebuggerPresent 2017-4-25 13:11 0
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 13 楼另外程序入口为1A3F0F,bp CreateThread后，发现当输入法创建线程后，还会调用入口地址，不知道是不是就是TLS的回调函数引起。难道入口地址和TLS回调函数重叠？哪位大神科普下。 2017-4-25 13:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
destnity 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 103 粉丝 1 关注私信	destnity 2 楼大神，这是啥龟壳？ 2017-3-23 14:00 0
destnity 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 103 粉丝 1 关注私信	destnity 3 楼查过吗? 2017-3-23 14:00 0
风影残烛雪币： 46 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	风影残烛 4 楼 destnity 大神，这是啥龟壳？目前任何PE工具，查不到！！ 2017-3-23 14:04 0
destnity 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 103 粉丝 1 关注私信	destnity 5 楼 (⊙o⊙)哦 2017-3-23 14:36 0
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 6 楼 bp kernel32.VirtualAlloc 101A4115 nop //IAT encode 101A41D0 jmp oep F7 Dump Fix Iat 因为是DLL所以需要修复重定位.ReloX这个东西可以修复网上教程很多..我就不发了.. 挺简单的一个壳.. 2017-3-23 23:59 0
jerryme 雪币： 3149 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 205 粉丝 0 关注私信	jerryme 7 楼楼上的厉害 2017-3-26 13:55 0
shenpengz 雪币： 89 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 77 粉丝 0 关注私信	shenpengz 8 楼膜拜我竹子师傅！ 2017-4-1 17:49 0
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 9 楼 bambooqj bp  kernel32.VirtualAlloc101A4115   nop     //IAT encode101A41D0 ... 载入后会检测到OD。如何破，需要重新配置SOD？ 2017-4-23 17:30 0
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 10 楼 VirtualAlloc 推荐你直接断这个.然后重载..别跑起来就好;他tls有处理东西.所以你需要单独去调试下tls.并不是换个OD就好的事情.断下后按照我的那个操作调试即可. 2017-4-24 18:23 0
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 11 楼好的，谢谢。TLS回调函数是在线程执行前调用。该动态库（加壳）不包含TLS段，在壳解密代码后开启新线程前调用TLS？测试了一下，3次VirtualAlloc断点后，程序被检测到OD存在。无法执行到第二步(101A4115 nop //IAT encode)的操作。另外，查资料说SOD中包含了TLS的相关处理，仍然被检测出是检测方法升级，还是存在新的检测手段？ 2017-4-25 08:37 0
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 12 楼找了下。再第二次VirtualAlloc断点返回后（地址：101A7CD1开始），开始检测是否存在调试器。 101A7D16 E8 28050000 call ajin.101A8243 // 解码检测函数。 // ebp+4b31 的内存段存储检测函数 // 以下为调用CheckRemoteDebuggerPresent检查是否被调试。【ebp+4b67】存储是否调试标识。我OD就是在这个地方被检测到。（这些函数应该被anti了啊，不知道是不是SOD没配置好？） 101A7DA0 FF95 354B0000 call dword ptr ss:[ebp+4B35] ; KERNEL32.CheckRemoteDebuggerPresent 101A8A70 76AEE3D0 jmp 到 KERNELBA.IsDebuggerPresent 101A8A74 76AF2B80 KERNEL32.CheckRemoteDebuggerPresent 101A8A78 76AEDA90 KERNEL32.GetVersionExA 101A8A7C 76AF98B0 jmp 到 KERNELBA.CreateFileA 101A8A80 76AE4820 KERNEL32.GetCurrentProcessId 101A7D31 8903 mov dword ptr ds:[ebx],eax ; KERNEL32.CheckRemoteDebuggerPresent 2017-4-25 13:11 0
scpczc 雪币： 486 活跃值： (583) 能力值： ( LV12，RANK：238 ) 在线值：发帖 10 回帖 92 粉丝 2 关注私信	scpczc 1 13 楼另外程序入口为1A3F0F,bp CreateThread后，发现当输入法创建线程后，还会调用入口地址，不知道是不是就是TLS的回调函数引起。难道入口地址和TLS回调函数重叠？哪位大神科普下。 2017-4-25 13:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复