首页
社区
课程
招聘
softworm 发布了VM解码器。
发表于: 2006-3-25 09:22 16993

softworm 发布了VM解码器。

2006-3-25 09:22
16993
谁转过来?
http://forum.exetools.com/attachment.php?attachmentid=4189

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (23)
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
蛋蛋还真准备研究他的VM啊,你不是一直SMC吗.
上传的附件:
2006-3-25 09:45
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
看样子他是研究以久,注释写的很完整
2006-3-25 10:22
0
雪    币: 207
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
不是一般的强
2006-3-25 11:20
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
5
又是一个玩命的。
2006-3-25 13:28
0
雪    币: 442
活跃值: (1241)
能力值: ( LV12,RANK:1130 )
在线值:
发帖
回帖
粉丝
6
连咋用都不知道
2006-3-25 13:42
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
7
最初由 baby2008 发布
连咋用都不知道


ME 2
2006-3-25 16:39
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
8
这个程序是拿来分析dumped_.exe的,pcode数据是用ReadProcessMemory读的。只是个console程序,需要改ProcessID和需要读的内存地址。程序不完整,只是够得到当前的结果。

dumped_.exe不是放出的那个,是没有删除dump出来那一大堆section(vm代码)的。

问题是themida加壳的时候加了些随机性,pcode数据内各field的偏移量是变化的,解释程序的处理顺序也有变化。虽然套路差不多,但不能直接用到另一个程序上。我想themida加壳时显示的“生成特定vm”可能指这个。

这个东西我耗了差不多4个月,只是笨工夫而已,没什么可夸耀的。鸡蛋壳不妨介绍一下怎么去掉nag。
2006-3-25 20:52
0
雪    币: 50161
活跃值: (20665)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
9
最初由 softworm 发布
这个东西我耗了差不多4个月


佩服你的毅力不一般。
2006-3-25 20:56
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
10
我把那个保留vm可以运行的放这里吧。
上传的附件:
2006-3-25 21:06
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
11
part 2
上传的附件:
2006-3-25 21:07
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
12
part 3
上传的附件:
2006-3-25 21:07
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
13
part 4
上传的附件:
2006-3-25 21:08
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
最初由 softworm 发布
这个程序是拿来分析dumped_.exe的,pcode数据是用ReadProcessMemory读的。只是个console程序,需要改ProcessID和需要读的内存地址。程序不完整,只是够得到当前的结果。

dumped_.exe不是放出的那个,是没有删除dump出来那一大堆section(vm代码)的。

问题是themida加壳的时候加了些随机性,pcode数据内各field的偏移量是变化的,解释程序的处理顺序也有变化。虽然套路差不多,但不能直接用到另一个程序上。我想themida加壳时显示的“生成特定vm”可能指这个。
........


不会吧,这都能难倒你?我不大信。你可以看看我上传的图片,你从破解发布的帖子里面找,根据这个图片还原成加密代码就在主程序里面,就能找到显示NAG代码处。
2006-3-25 22:30
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
最初由 鸡蛋壳 发布
不会吧,这都能难倒你?我不大信。你可以看看我上传的图片,你从破解发布的帖子里面找,根据这个图片还原成加密代码就在主程序里面,就能找到显示NAG代码处。

有这么麻烦吗?直接乱写就行了,不过在有些机器上会卡一下.
上传的附件:
2006-3-26 08:30
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
最初由 q3 watcher 发布
有这么麻烦吗?直接乱写就行了,不过在有些机器上会卡一下.


010DAC0E    8BC5            mov eax,ebp
010DAC10    8BD4            mov edx,esp
010DAC12    60              pushad
010DAC13    E8 00000000     call NOTEPAD.010DAC18
010DAC18    5D              pop ebp
010DAC19    81ED AB2F5B03   sub ebp,35B2FAB
010DAC1F    8995 29265B03   mov dword ptr ss:[ebp+35B2629],edx
010DAC25    89B5 9D225B03   mov dword ptr ss:[ebp+35B229D],esi
010DAC2B    8985 65135B03   mov dword ptr ss:[ebp+35B1365],eax
010DAC31    83BD FD235B03 0>cmp dword ptr ss:[ebp+35B23FD],0
010DAC38    74 0C           je short NOTEPAD.010DAC46
010DAC3A    8BE8            mov ebp,eax
010DAC3C    8BE2            mov esp,edx
010DAC3E    B8 01000000     mov eax,1
010DAC43    C2 0C00         retn 0C
010DAC46    8B4424 24       mov eax,dword ptr ss:[esp+24]
010DAC4A    8985 390E5B03   mov dword ptr ss:[ebp+35B0E39],eax
010DAC50    6A 45           push 45
010DAC52    E8 A3000000     call NOTEPAD.010DACFA
010DAC57    68 9A748307     push 783749A
010DAC5C    E8 DF000000     call NOTEPAD.010DAD40
010DAC61    68 254B890A     push 0A894B25
010DAC66    E8 D5000000     call NOTEPAD.010DAD40
010DAC6B    E9 5A010000     jmp NOTEPAD.010DADCA

果然式乱写
2006-3-26 09:57
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
17
我是真的不知道,没有跟过被保护的程序。要从头再来一次,想想都头大。鸡蛋壳不要卖关子,直接说说主程序改哪里好不好。
2006-3-26 10:16
1
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
18
有请Q3 watcher来说说吧。
2006-3-26 10:18
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
最初由 鸡蛋壳 发布
010DAC0E 8BC5 mov eax,ebp
010DAC10 8BD4 mov edx,esp
010DAC12 60 pushad
010DAC13 E8 00000000 call NOTEPAD.010DAC18
010DAC18 5D pop ebp
........

恩,说的完全不是一个地方.
2006-3-26 19:52
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
20
最初由 q3 watcher 发布
恩,说的完全不是一个地方.

是啊.我跟踪了发觉没修改的也是这样的嘛
2006-3-26 21:24
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
pfpf.hehe
2006-3-27 09:05
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
最初由 q3 watcher 发布
恩,说的完全不是一个地方.


那你认为正确地方在哪?既然这么简单,我看你没必要不说吧。
2006-3-27 09:58
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
最初由 鸡蛋壳 发布
那你认为正确地方在哪?既然这么简单,我看你没必要不说吧。

看着明白,装着糊涂,心理清楚。去掉的方法不止一种,但可以乱写的地方应该就那一处。壳是softworm和hero搞定的,要公布也自然是由两位老大来公布。但天意如此,hero为什么放出了个没完全CRACK的,还特意加了个图片进去,除了搞笑以外还应该有别的考虑吧,比如蛋蛋一不开心又使用第二双小手来解决问题。
要不这样吧,关于是不是乱写的这个问题,你不是要给softworm发一份修改的主程序吗,我也发一份,到时由softworm来说如何.
2006-3-27 11:04
0
雪    币: 785
活跃值: (33)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
24
距离上个时期,我是十三年后了,我去
2020-1-4 12:54
0
游客
登录 | 注册 方可回帖
返回
//