|
|
|---|---|
|
|
最初由 老王 发布 用刀做比喻不如用AK形象,国家为什么不准私人持有AK。如果您是一个反病毒工程师,收到一个样本程序,它运行的第一件事是向系统目录释放文件,接着注入关键进程,然后HOOK API不让别人看到进程,不准别人结束进程等等,您认为它像是个正常程序哪,还是更像木马?当然凡是都要有个由头,从众多杀毒软件都报一种病毒来看,应该是您的正版客户里有写木马的,而且他的木马所有的隐藏功能都是靠壳实现的;或者有人买了壳,专门从事免杀服务,然后有样本到了杀毒软件公司手里,再后来...... “加密的壳主程序本身一旦放出,就又要被人用来干坏事了”简直就是一定的,HERO的活动突然频繁起来,FLY说有更大的六一礼物,种种迹象表明破解版或全自动脱壳机就要出现了,赶紧去HERO的家里埋包,防止事态扩大。 
|
|
|
全自动的脱壳机我估计是不会弄了,留给哪个大牛来完成吧,不过有可能我会出一个同样功能但更加实用的东西.
|
|
|
|
|
|
最初由 netsowell 发布 不过,你应该还修改一下,不要让它hook那个打开进程的API,这样方便DUMP. |
|
|
|
|
|
最初由 老王 发布 老王老师可以学学Themida,对使用者建立一个档案群,调查分析用户到底是拿来做什么的,这样对你的壳有很好的发展,俗话说:一颗耗子屎打坏一锅汤的嘛... 
|
|
|
|
|
|
|
|
|
|
|
|
有破解并非坏事 没有破解也并不一定是好事
|
|
|
最初由 KuNgBiM 发布 原来就是“*.epe”那个文件,我这里所有版本的都不行,刚一产生运行库,就被删除了。 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
最初由 老王 发布 老王思路变了,那么就是好事情,如果去掉注入,隐藏进程之类的,首先作为商业壳来说,走回正路是大势所趋.现在我们都知道壳现在可以正常ANTI debugger的手段越来越少,也是壳和脱壳对抗到了一个新的高度,如果你还是停留在这些手段上面,只能说该打屁屁的是老王你了. 如果还是被K8报就应该端正态度了,和杀毒软件"同流合污",多多配合他们,这样是正途,毕竟市场是王,小杀毒软件人家报我们可以不理会,要是大软件病毒软件报了,你就必须再次补救,客户是上帝呀,假设加了你壳客户天天报说:"你们公司开发的软件加了病毒给我们??"我想市场部和客户服务部还不杀了我们技术部?? 加壳和脱壳永远是螺旋上升的过程,这次大牛放出来脱壳机是好事情,促进你的壳能走上更高阶层,那么多大牛都站出来说话了,无论正话反话,在看雪说明你的人缘很好,否则都懒得理你的壳哪才是悲哀. 其实,希望大牛门的"善意的保护"并不是上策,这样只能让你的壳技术停留在简单层次,想想国内的壳大部分都还停留在ANTI手段上,而国外壳方向都走向了VM,多线程互锁解码上,这都是在对抗中发展起来的,有破才有立. 话说难听了点,但希望能有所帮助. 大牛门现在没有目标了,6.1是EPE,下一个目标是什么??哈哈 
|
|
|
|
|
|
我觉得隐藏进程该去,但注入应该保留,只是注入的目标可以变通一下。毕竟注入是EPE的特色,壳有自己的特色很重要,VM虽然前卫,但vmprotect和themida破解版会直接导致其他以VM做主打的壳一个也卖不出去。关于报毒的问题,至少应该保证与国外的Kaspersky、McAfee、Microsoft、NOD32、Symantec 和国内的3大杀毒软件有良好的兼容性,保持与这些厂商的沟通很必要。EPE被玩木马的盯上不是一天两天了,可以搞个水印之类的,发现是谁加马就BAN他的KEY;或者注入的DLL文件不自动释放,而是需要发行的人事先和加壳后程序一起打到安装包里,再安装的时候正大光明的写进去。总之要想办法不让壳被用来加密木马或使加密的木马缺乏隐蔽性,这样就不会有杀毒软件找上门了。
|
|
|
|
