能力值:
( LV4,RANK:50 )
|
-
-
76 楼
最初由 gkend 发布
老王你的SDK思路,早在别人的壳中就已经实现。比如在OEP前就调用程序功能函数,ASP就是例子。所以你应该多了解别人的SDK然后再自己设计。同时你要多脱壳才会知道SDK的难度。你搞一些小技巧,修复时很容易模拟执行。偶就是脱壳太多感觉有难度只有RSA代码锁定或在虚拟机执行代码,其他一些变形代码只要多花点时间总能修复。
"还有程序中可以利用RunFunction这个函数来改变执行流程,而个函数的参数正好与特征整数、保护密码的HASH值有关",不要想当然。因为你的入口参数无法保证不变。HASH值很容易替换。假如你计算的是401000H处代码的HASH值,那么我把401000处的代码复制到其他位置,然后把指针指向那个位置那么计算的HASH值不变而实际401000的代码已经变了。
其实你根本没理解EPE的SDK!就说RunFunction这个函数吧,如果你脱壳后看到程序中类似这样的语句:RunFunction(1233443),你能知道它要调用的是哪里吗(带壳跟踪可能就知道了)?其中的1233443是程序中就这么写的,不是加壳时改变的,而1233443是跟加壳时设置的特征整数、保护密码的HASH值以及真实的要执行的函数地址有关的。HASH值不是某处代码的HASH值!
“比如在OEP前就调用程序功能函数,ASP就是例子。”我不管别人怎么实现,反正我是按我的想法实现的,我觉得你最好尝试破解一下我发的CrackMe,看看真正的OEP在哪呢?
我认为加密就是要靠小技巧,如果运用得多、运用得当,你破解就麻烦。
|
能力值:
( LV8,RANK:130 )
|
-
-
77 楼
看来CrackMe没什么吸引力啊,大家似乎都懒得去看
不如老王出个新版本的epe,主程序里用上你最强的SDK,大家也许更愿意去测试
|
能力值:
( LV12,RANK:2670 )
|
-
-
78 楼
确实如此!
在每个用户注册后的壳中写入他们的ID、机器码等,加壳后的程序中也带有他们的ID、机器码等,一旦发现某用户拿来加马,立即BAN ID,看谁还敢来用EPE来加马! 
放弃注入、隐藏进程也是个不错的抉择!
祝EPE越做越好!
|
能力值:
( LV2,RANK:10 )
|
-
-
79 楼
最初由 老王 发布
其实你根本没理解EPE的SDK!就说RunFunction这个函数吧,如果你脱壳后看到程序中类似这样的语句:RunFunction(1233443),你能知道它要调用的是哪里吗(带壳跟踪可能就知道了)?其中的1233443是程序中就这么写的,不是加壳时改变的,而1233443是跟加壳时设置的特征整数、保护密码的HASH值以及真实的要执行的函数地址有关的。HASH值不是某处代码的HASH值!
“比如在OEP前就调用程序功能函数,ASP就是例子。”我不管别人怎么实现,反正我是按我的想法实现的,我觉得你最好尝试破解一下我发的CrackMe,看看真正的OEP在哪呢?
我认为加密就是要靠小技巧,如果运用得多、运用得当,你破解就麻烦。
EPE的SDK有什么不理解的?老王你只要放什么屁,我就知道你拉什么屎。所以只要看下你的SDK说明,就大概知道你是怎么实现的。你不要动不动拿你这个CrackMe来唬人,脱壳是要有动力的,你的拿来卖钱的主程序都保护的不好,谁还愿意来搞这个Crackme?哪怕你说的SDK再强,大家也不会相信。如果要脱壳练习,目前也轮不到EPE,除非老王给奖品,可能有人会脱你这个Crackme炼炼手。
如果你不能anti debug,RunFunction(1233443)没任何作用,只要跟踪分析一下,很容易知道它要调用哪里,而最后修复也更简单:把RunFunction(1233443)直接改为call XXXXXXXX或jmp xxxxxxx即可。你在函数中所作的任何检查和效验都是空的。
建议老王不要想当然,要多实践。最后希望老王把认为最强的SDK用在你下一EPE主程序中,让大家见识见识。
|
能力值:
( LV4,RANK:50 )
|
-
-
80 楼
楼上表冲动啊
|
能力值:
( LV4,RANK:50 )
|
-
-
81 楼
话说回来,SDK除非像vmp或themida一样用虚拟机
要不然SDK再怎么的都是弱
这个弱的意思是能被大多数人搞定
|
能力值:
( LV4,RANK:50 )
|
-
-
82 楼
最初由 gkend 发布
EPE的SDK有什么不理解的?老王你只要放什么屁,我就知道你拉什么屎。所以只要看下你的SDK说明,就大概知道你是怎么实现的。你不要动不动拿你这个CrackMe来唬人,脱壳是要有动力的,你的拿来卖钱的主程序都保护的不好,谁还愿意来搞这个Crackme?哪怕你说的SDK再强,大家也不会相信。如果要脱壳练习,目前也轮不到EPE,除非老王给奖品,可能有人会脱你这个Crackme炼炼手。
如果你不能anti debug,RunFunction(1233443)没任何作用,只要跟踪分析一下,很容易知道它要调用哪里,而最后修复也更简单:把RunFunction(1233443)直接改为call XXXXXXXX或jmp xxxxxxx即可。你在函数中所作的任何检查和效验都是空的。
建议老王不要想当然,要多实践。最后希望老王把认为最强的SDK用在你下一EPE主程序中,让大家见识见识。
看你激动得!“屎话”都出来了!哈哈!
怎么加密总可以破解,我相信这一点!如果非要以竞赛的形式来证明什么,我确实处于下风!
搞这个CrackMe你要什么奖品,说来看看吧,也许我会答应。
下一版我确实会加强EPE的主程序,不过这个CrackMe可以先练练手,以后无非也是这样的手段。
|
能力值:
( LV4,RANK:50 )
|
-
-
83 楼
最初由 KuNgBiM 发布
确实如此!
在每个用户注册后的壳中写入他们的ID、机器码等,加壳后的程序中也带有他们的ID、机器码等,一旦发现某用户拿来加马,立即BAN ID,看谁还敢来用EPE来加马!
放弃注入、隐藏进程也是个不错的抉择!
........ 谢谢!
这个早已经实现了,可我见不到那个样本程序啊!卡巴也不会先发给我看看!
|
能力值:
![]()
(RANK:10 )
|
-
-
84 楼
最初由 堀北真希 发布
话说回来,SDK除非像vmp或themida一样用虚拟机
要不然SDK再怎么的都是弱
这个弱的意思是能被大多数人搞定
你真是牛人?!!!
|
能力值:
( LV6,RANK:90 )
|
-
-
85 楼
最初由 老王 发布
谢谢!
这个早已经实现了,可我见不到那个样本程序啊!卡巴也不会先发给我看看! 老王有没有试着和他们联系呢?也许双方都可以共同协商的,毕竟各自的出发点不一样
我见到你的crackme里用到了内存映射,想知道你那地方的处理,能透露以下吗?
|
能力值:
( LV4,RANK:50 )
|
-
-
86 楼
最初由 dododo 发布
老王有没有试着和他们联系呢?也许双方都可以共同协商的,毕竟各自的出发点不一样
我见到你的crackme里用到了内存映射,想知道你那地方的处理,能透露以下吗?
那不是CrackMe用到内存映射,是壳用到了。我会在适当时候放出这个CrackMe的源码,以作EPE的SDK使用示例。
卡巴之类的我惹不起,躲着就是了。以前发过邮件,石沉大海。瑞星、金山等容易沟通。
|
能力值:
( LV2,RANK:10 )
|
-
-
87 楼
最初由 老王 发布
看你激动得!“屎话”都出来了!哈哈!
怎么加密总可以破解,我相信这一点!如果非要以竞赛的形式来证明什么,我确实处于下风!
搞这个CrackMe你要什么奖品,说来看看吧,也许我会答应。
下一版我确实会加强EPE的主程序,不过这个CrackMe可以先练练手,以后无非也是这样的手段。
不可能激动,又不是我的壳被别人脱了。那只是个比喻,虽然有点俗,倒还贴切。
老王你除了发咪咪,还有什么东东值得大家心动的吗?别指望给大家奖励你的EPE.
|
能力值:
( LV12,RANK:2670 )
|
-
-
88 楼
最初由 老王 发布
谢谢!
这个早已经实现了,可我见不到那个样本程序啊!卡巴也不会先发给我看看!
这个您就要主动去联系K8、NOD、MacAfee这些元老级的杀软厂商吧~~
另外,你论坛上的那些用户所谓的“测试”程序中,也有不少是马儿哦~~ 
|
能力值:
( LV12,RANK:2670 )
|
-
-
89 楼
最初由 老王 发布
那不是CrackMe用到内存映射,是壳用到了。我会在适当时候放出这个CrackMe的源码,以作EPE的SDK使用示例。
卡巴之类的我惹不起,躲着就是了。以前发过邮件,石沉大海。瑞星、金山等容易沟通。
话说转来,你应该先去找国外的杀软厂商,感觉国内的杀软只有RISING的比较独立,其余的都是你膜拜我我膜拜你的特征库文件,一有木马消息,就马上分析对方的特征库更新情况(您也可以试着想一下,如果你是上报病毒的提供者,哪有那么多的时间提供给N家杀软公司?这简直就是吃饱了撑着了没事干的表现!所以你只需要向K8诸类的国际大型的杀软厂商反馈反馈信息就OK了)
BTW:
那些杀软厂商和你说的是一个道理:
“卡巴之类的我惹不起,躲着就是了。”
而杀软们:“K8是大哥,我们一定要跟着它走!惹不起”
|
能力值:
( LV4,RANK:50 )
|
-
-
90 楼
K8:“我是K8我怕谁”
|
能力值:
( LV12,RANK:2670 )
|
-
-
91 楼
最初由 堀北真希 发布
K8:“我是K8我怕谁”
“就怕没毒给K8杀”
|
能力值:
( LV3,RANK:20 )
|
-
-
92 楼
最初由 heXer 发布
你的这些SDK用在自己的主程序里了吗?
如果已经用过了,那你放这个CrackMe就没什么意义了
如果你自己都不愿意用,那我们就不理解了
说得有理。 
|
能力值:
( LV2,RANK:10 )
|
-
-
93 楼
最初由 老王 发布
谢谢提醒!我在考虑去掉注入、进程隐藏。
是不是将注入、隐藏进程去掉就可以了?如果去掉之后还有误报现象发生,那时大家又会怎么想?
即使你将注入、隐藏进程去掉,还是会误报,除非你同所有的杀毒软件公司沟通。ASProtect、EXECryptor、HYING等就是例子,一样被误报。杀毒软件公司迟早会关门,因为总不可能把所有壳列为病毒,以后把病毒代码用VM来执行(用VMProtect或themida保护),看它怎么搜索特征码?!
|
能力值:
( LV4,RANK:50 )
|
-
-
94 楼
最初由 gkend 发布
不可能激动,又不是我的壳被别人脱了。那只是个比喻,虽然有点俗,倒还贴切。
老王你除了发咪咪,还有什么东东值得大家心动的吗?别指望给大家奖励你的EPE.
你需要多少人民币?呵呵!我说过可以考虑的!
|
能力值:
![]()
(RANK:1130 )
|
-
-
95 楼
最初由 csjwaman 发布
如果什么都得由杀软说了算,那么杀软要搞死谁不是很简单了?
杀软就是一个很大的骗局,有人宁愿相信杀软,不相信事实
|
能力值:
( LV2,RANK:10 )
|
-
-
96 楼
|
能力值:
( LV4,RANK:50 )
|
-
-
97 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
98 楼
管我鸟事,反正注入是不可能流行的。
|
能力值:
( LV3,RANK:20 )
|
-
-
99 楼
最初由 鸡蛋壳 发布
管我鸟事,反正注入是不可能流行的。
|
能力值:
( LV2,RANK:10 )
|
-
-
100 楼
高手在过招,我等小菜鸟只能干看! 
|
|
|
|
