能力值:
( LV9,RANK:1210 )
|
-
-
2 楼
最多看过226,还忘了
|
能力值:
(RANK:1060 )
|
-
-
3 楼
膜拜一下大牛,有没有输入stolen地址和pe文件能追出代码的工具
|
能力值:
( LV9,RANK:1210 )
|
-
-
4 楼
这个半截子程序以前贴过,至于怎么用等等一切细节都不记得了,另外不要拿我开心
|
能力值:
( LV9,RANK:1210 )
|
-
-
5 楼
226的stolen codes和vm没关系,vm只是用来干扰调试的
|
能力值:
(RANK:1060 )
|
-
-
6 楼
我搞得不是主程序,也不知道什么版本。
好像一句明文一句pcode,真是见鬼了。
softworm的意思是stolen会明文出现吗
|
能力值:
(RANK:1060 )
|
-
-
7 楼
没有cl,写了个脚本模拟,我怀疑c0是条件判断吧
000F9C54C :: pcode 0xC0 -> jmp 000FC2A35 !!!maybe smc included
00FC2A35 3C 02 CMP AL, 2
000FC2A37 :: pcode 0x3F -> nop
000FC2A44 :: pcode 0xC0 -> jmp 000FD771C !!!maybe smc included
00FD771C 3C 03 CMP AL, 3
000FD771E :: pcode 0xC0 -> jmp 000F8171F !!!maybe smc included
00F8171F 3C 05 CMP AL, 5
不知道怎么识别call vm 后面的dd个数?
Log data
Address Message
$RESULT = 000F9C54C :: pcode 0xC0 -> jmp/jxx 000FC2A35
$RESULT = 000FBF6BD :: pcode 0x3F -> nop
$RESULT = 000FBF6BD :: pcode 0x3F -> nop
$RESULT = 000FBF6BD :: pcode 0x3F -> nop
$RESULT = 000FBF6BD :: pcode 0xC0 -> jmp/jxx 000F76AB0
$RESULT = 000FBF6BD :: pcode 0x00 -> push r000000001
|
能力值:
( LV9,RANK:1210 )
|
-
-
8 楼
最初由 forgot 发布 我搞得不是主程序,也不知道什么版本。
好像一句明文一句pcode,真是见鬼了。
softworm的意思是stolen会明文出现吗
忘记了 。
可能是变形过的。跟的时候一般能看出来。不过我记得ExeCryptor有一点很讨厌,原代码被抽的位置,塞了些过路的代码。壳代码会从那走一下,所以是修复
部分代码,但不方便贴回去试。我当时搞了5,6段就放弃了。
call后面的dword,最多2个。用程序解码的时候可以明确识别出来。要偷懒,在IDA里转换为code试试。一般vm数据后面是正确的代码。
|
能力值:
(RANK:1060 )
|
-
-
9 楼
我这个victim是crypt_start/end,有几百行。。。
还是考虑以壳解壳吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
还是以壳解壳吧
|
能力值:
(RANK:1060 )
|
-
-
11 楼
好像有好多初始化过的东西,真烦人阿。
寻觅一个简单的方案
|
能力值:
( LV9,RANK:3410 )
|
-
-
12 楼
一切尽在你掌握
找到那个恰当的点dump就行了
|
能力值:
(RANK:1060 )
|
-
-
13 楼
看了一下,好像只是oep的代码被初始化了。
我模拟出来OEP代码,把dump出来的3个段贴上,居然ok了。
抓狂中。
|
能力值:
( LV9,RANK:3410 )
|
-
-
14 楼
恭喜OK
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
最初由 forgot 发布 好像有好多初始化过的东西,真烦人阿。
寻觅一个简单的方案
如果有简单的方案,那其VM岂不形同虚设?
|
能力值:
(RANK:1060 )
|
-
-
16 楼
最初由 gkend 发布 如果有简单的方案,那其VM岂不形同虚设?
vm保护注册验证代码还是有点用,不过如果保护功能。crack掉就没什么了
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
最初由 forgot 发布 vm保护注册验证代码还是有点用,不过如果保护功能。crack掉就没什么了
VM除了保护代码不让你分析和修改外,其他就没什么作用了。
如果用VM来保护注册验证反而不太好,因为它无法控制硬件ID和时间限制。最多只能防止别人知道注册算法。
|
|
|