[原创]DSLS-keyGen-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
逍遥m 雪币： 2333 活跃值： (3902) 能力值： ( LV3，RANK：25 ) 在线值：发帖 17 回帖 47 粉丝 44 关注私信	逍遥m 2 楼哈哈哈哈.22年接到一个这个单子,一直不知道这玩意是干啥的,还有人破解哈哈哈 2024-6-15 02:40 0
romobin 雪币： 8117 活跃值： (4909) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 246 粉丝 47 关注私信	romobin 3 楼不交流不分享这个贴不就发的没意义了么 2024-6-15 03:12 1
zlyt 雪币： 1395 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 1 关注私信	zlyt 4 楼反汇编引擎库是逆向微软msvcdis140.dll进行二次封装，capstone太重，hde64很轻但有bug；动态库劫持库启发来源于论坛上的文章https://bbs.kanxue.com/thread-279368.htm，主要功能包括侦测可供劫持的动态库，自动生成代理库代码和payload攻击模板；可能存在死锁问题，尝试解锁ldrloaderlocker，但以失败而告终； hook库包括inlinehook（hotfix优先），导入表IAThook，导出表hook（很少看到相关文章，但实际是可行的）, 支持重定位；多线程不安全，解决这个问题的代价和收益不对等，遂放弃。 2024-6-15 11:42 0
小菜鸟一雪币： 1246 活跃值： (4322) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 5 楼 https://bbs.kanxue.com/thread-281068.htm 新款建议了解一下 2024-6-15 12:00 0
jccforever 雪币： 596 活跃值： (998) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	jccforever 6 楼这是个好资源啊大佬分享下？ 2024-6-15 14:13 0
zlyt 雪币： 1395 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 1 关注私信	zlyt 7 楼小菜鸟一 https://bbs.kanxue.com/thread-281068.htm 新款建议了解一下 2024-6-15 17:51 0
petersc 雪币： 524 活跃值： (888) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 94 粉丝 0 关注私信	petersc 8 楼这是个好资源啊大佬分享下？ 2024-6-20 15:12 0
pipixiaosu 雪币： 6 活跃值： (215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 2 关注私信	pipixiaosu 9 楼请问大佬能透露一下校验函数的一些信息吗？哪怕一点也行。我最近在研究这个一点头绪都没有，dll太多了不知道哪个才是重要的。 2024-8-8 22:59 0
zlyt 雪币： 1395 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 1 关注私信	zlyt 10 楼 pipixiaosu 请问大佬能透露一下校验函数的一些信息吗？哪怕一点也行。我最近在研究这个一点头绪都没有，dll太多了不知道哪个才是重要的。 3DE对关键模块进行了隐藏保护，先从已知dll使用rsa2048解密出字节序，进行基本的sha校验，然后使用反射式加载到进程中， ldr断链隐藏，抹除了一些数据。达索这个方法很“黑客”，软件保护无所不用其极。故而你能看到的dll都不是，常规方法也无法遍历出这个模块。要找到这个关键模块，你需要掌握反射式注入方法，从内存中dump出dll代码段和数据段，进行重定位修复，还原出原始dll。这样才能使用IDA进行分析，找到许可校验函数。最后即便你找到了这个dll，也要找准hook时机，有很多守护机制交叉保护。 2024-8-9 11:21 2
pipixiaosu 雪币： 6 活跃值： (215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 2 关注私信	pipixiaosu 11 楼 zlyt 3DE对关键模块进行了隐藏保护，先从已知dll使用rsa2048解密出字节序，进行基本的sha校验，然后使用反射式加载到进程中， ldr断链隐藏，抹除了一些数据。达索这个方法很“黑客”，软件保护无所 ... 我目前都是用x64dbg在动态调试最后于 2024-12-4 21:54 被pipixiaosu编辑，原因： 2024-8-9 16:09 0
pipixiaosu 雪币： 6 活跃值： (215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 2 关注私信	pipixiaosu 12 楼最后于 2024-12-4 21:54 被pipixiaosu编辑，原因： 2024-8-15 18:41 0
mb_jncpxunc 雪币： 293 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	mb_jncpxunc 13 楼同求指点过校核 2024-10-29 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
逍遥m 雪币： 2333 活跃值： (3902) 能力值： ( LV3，RANK：25 ) 在线值：发帖 17 回帖 47 粉丝 44 关注私信	逍遥m 2 楼哈哈哈哈.22年接到一个这个单子,一直不知道这玩意是干啥的,还有人破解哈哈哈 2024-6-15 02:40 0
romobin 雪币： 8117 活跃值： (4909) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 246 粉丝 47 关注私信	romobin 3 楼不交流不分享这个贴不就发的没意义了么 2024-6-15 03:12 1
zlyt 雪币： 1395 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 1 关注私信	zlyt 4 楼反汇编引擎库是逆向微软msvcdis140.dll进行二次封装，capstone太重，hde64很轻但有bug；动态库劫持库启发来源于论坛上的文章https://bbs.kanxue.com/thread-279368.htm，主要功能包括侦测可供劫持的动态库，自动生成代理库代码和payload攻击模板；可能存在死锁问题，尝试解锁ldrloaderlocker，但以失败而告终； hook库包括inlinehook（hotfix优先），导入表IAThook，导出表hook（很少看到相关文章，但实际是可行的）, 支持重定位；多线程不安全，解决这个问题的代价和收益不对等，遂放弃。 2024-6-15 11:42 0
小菜鸟一雪币： 1246 活跃值： (4322) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 5 楼 https://bbs.kanxue.com/thread-281068.htm 新款建议了解一下 2024-6-15 12:00 0
jccforever 雪币： 596 活跃值： (998) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	jccforever 6 楼这是个好资源啊大佬分享下？ 2024-6-15 14:13 0
zlyt 雪币： 1395 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 1 关注私信	zlyt 7 楼小菜鸟一 https://bbs.kanxue.com/thread-281068.htm 新款建议了解一下 2024-6-15 17:51 0
petersc 雪币： 524 活跃值： (888) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 94 粉丝 0 关注私信	petersc 8 楼这是个好资源啊大佬分享下？ 2024-6-20 15:12 0
pipixiaosu 雪币： 6 活跃值： (215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 2 关注私信	pipixiaosu 9 楼请问大佬能透露一下校验函数的一些信息吗？哪怕一点也行。我最近在研究这个一点头绪都没有，dll太多了不知道哪个才是重要的。 2024-8-8 22:59 0
zlyt 雪币： 1395 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 1 关注私信	zlyt 10 楼 pipixiaosu 请问大佬能透露一下校验函数的一些信息吗？哪怕一点也行。我最近在研究这个一点头绪都没有，dll太多了不知道哪个才是重要的。 3DE对关键模块进行了隐藏保护，先从已知dll使用rsa2048解密出字节序，进行基本的sha校验，然后使用反射式加载到进程中， ldr断链隐藏，抹除了一些数据。达索这个方法很“黑客”，软件保护无所不用其极。故而你能看到的dll都不是，常规方法也无法遍历出这个模块。要找到这个关键模块，你需要掌握反射式注入方法，从内存中dump出dll代码段和数据段，进行重定位修复，还原出原始dll。这样才能使用IDA进行分析，找到许可校验函数。最后即便你找到了这个dll，也要找准hook时机，有很多守护机制交叉保护。 2024-8-9 11:21 2
pipixiaosu 雪币： 6 活跃值： (215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 2 关注私信	pipixiaosu 11 楼 zlyt 3DE对关键模块进行了隐藏保护，先从已知dll使用rsa2048解密出字节序，进行基本的sha校验，然后使用反射式加载到进程中， ldr断链隐藏，抹除了一些数据。达索这个方法很“黑客”，软件保护无所 ... 我目前都是用x64dbg在动态调试最后于 2024-12-4 21:54 被pipixiaosu编辑，原因： 2024-8-9 16:09 0
pipixiaosu 雪币： 6 活跃值： (215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 2 关注私信	pipixiaosu 12 楼最后于 2024-12-4 21:54 被pipixiaosu编辑，原因： 2024-8-15 18:41 0
mb_jncpxunc 雪币： 293 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	mb_jncpxunc 13 楼同求指点过校核 2024-10-29 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复