能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
可以伪装
BTW:仅仅躲过侦壳没什么意思
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
能仔细一点吗? 
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
让侦测工具把壳识别为VC++
Written By LiNSoN
一时找不到好的例子程序,向朋友要了一个易语言编译的窗口空程序演示一下-_-!
目标文件:Target.exe
加个壳:SVKP 1.3x -> Pavol Cerven[注:Cracked],PEiD正确识别出来了.记下入口点:5000
用ToPo增加大约128字节的空间[注:个人爱好而定],进入LordPE的PE Editor,打开Target.exe,
把.topo0段名改为.text,装的更像一点[注:也可以个性一点改成自己的大名,不影响结果]
记下VOffset:13000,把入口点改为这个值.OllyDbg载入Target.exe,轰~我们来到了一个异常,
向上拉动滚动条,来到413000处改写代码:
;----------------------------------------------------------------
;伪造VC++入口代码特征
;assume fs:nothing
push ebp
mov ebp,esp
push -1
push 666666
push 888888
mov eax,fs:[0]
push eax
mov fs:[0],esp
;下边再恢复
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
;----------------------------------------------------------------
别忘了jmp 405000,也就是壳的入口点.选中修改过的代码按右键,把它保存为newTarget.exe.
PEiD侦测一下:Microsoft Visual C++,并且运行正常,任务完成.
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
谢谢版主
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
6 楼
:D
谢谢FLY版主!!!!!!
又学了一门技术。;)
ToPo增加47个字节的空间就可以了,不然下面都是NOP。嘿嘿。
另个ToPo软件下载后瑞星会警报,用UPX压缩一下就不叫了。
:D :D :D :D :D :D
|
能力值:
![]()
(RANK:1060 )
|
-
-
7 楼
最初由 xs007 发布
:D
谢谢FLY版主!!!!!!
又学了一门技术。;)
ToPo增加47个字节的空间就可以了,不然下面都是NOP。嘿嘿。
另个ToPo软件下载后瑞星会警报,用UPX压缩一下就不叫了。
:D :D :D :D :D :D
ToPo增加一个section的话要对齐,几个字节忽略就可以了。
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
8 楼
又长见识了,谢了大大们!
|
能力值:
( LV2,RANK:10 )
在线值:
 
|
-
-
9 楼
"用ToPo增加大约128字节的空间[注:个人爱好而定],进入LordPE的PE Editor,打开Target.exe,
把.topo0段名改为.text,装的更像一点[注:也可以个性一点改成自己的大名,不影响结果]
记下VOffset:13000,把入口点改为这个值.OllyDbg载入Target.exe,",我用一个程序做试验,修改入口点后用OD载入出现错误提示“无法运行文件”,然后窗口一片空白!麻烦各位前辈指点一下,多谢!! 附件:Ecrack3.rar 附件:复件 Ecrack3.rar附件:Ecrack3(加壳修改).rar
|
|
|
|
