Themida 1.8.0.0 Demo虚拟机分析(完成,共8章)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

Themida 1.8.0.0 Demo虚拟机分析(完成,共8章)

发表于: 2006-12-15 21:56 255117

Themida 1.8.0.0 Demo虚拟机分析(完成,共8章)

softworm

2006-12-15 21:56

255117

查看主题内容

收藏・78

免费・7

支持

最新回复 (368) ◀ 1 ... 5 6 7 8 9 10 11 12 13 14 15 ▶
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 276 楼跟过里面的确实恐怖 2007-6-12 22:13 0
davidhee 雪币： 732 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 140 粉丝 1 关注私信	davidhee 277 楼牛人看不懂第三队的CrackMe中的VM，找到这个VM教程学习.... http://bbs.pediy.com/attachment.php?attachmentid=3717&d=1166251919 2007-6-14 16:07 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 278 楼厉害,来晚了 2007-6-23 15:57 0
opzzz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	opzzz 279 楼终于等来这篇文章了，等以后有精力再认真学习，感谢softworm！ 2007-6-24 15:59 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 280 楼人气这么高! 不支持都不行啊! 2007-6-27 21:42 0
ahkke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ahkke 281 楼看不懂啊 2007-6-29 10:04 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 282 楼先收藏了谢谢哈 2007-7-10 05:15 0
远大雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	远大 283 楼不懂~~~~~~~~~~` 2007-7-13 12:54 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 284 楼 VM由6部分组成。下面为注入的tracer(hi shooooJ)对VirtualAlloc的拦截记录(实际分配时会按页对齐)。Dump后补这6个区段就可以了(Virtual Machine Anti-Dumper会导致运行失败)。----------------请教这里是怎么做的?tracer是个工具吗?能详细说一下吗?看到这里就卡住了, 2007-7-14 10:32 0
Thinker 雪币： 226 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	Thinker 285 楼 xuexi ...谢了 2007-7-18 15:55 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 286 楼写段代码注入挂上去就行了,这不是必须的,用OD对VirtualAlloc下硬件执行断点,最开始的6次调用就是为VM分配内存. 今天看了一下新版的VM,有些不同了: 1. VM_Context内大部分的field,offset可变 2. VM代码变形增强了,比较明显的是增加了Execryptor那样的假跳转,如: mov bl,imm8 add bl,imm8 ... inc bl js xxx 要是等于JMP,下面是dead codes 这个js要么等于JMP,要么等于NOP,清理代码难度增加了代码变形是递归的,前面的mov... 也可能是别的模样,若不能正确处理,反汇编的结果要乱套 3. 好象还有1种,走分枝的哪条路径是一样的,最终会到同样的地方. 这玩艺大概就是文档中所说的Multi Branch 2007-7-19 10:57 0
ICE冰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ICE冰 287 楼收藏+支持ing 2007-7-26 12:10 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 288 楼看这大家对softworm的赞叹都很高兴呀学习呀 2007-7-29 00:00 0
wuchuanren 雪币： 214 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	wuchuanren 2 289 楼 ..............强.............................. 2007-7-29 09:27 0
deardream 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	deardream 290 楼不行了，这个要顶一下，刚好最近要攻坚themida。。。。学习 2007-8-16 14:19 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 291 楼楼主是火星人，鉴定完毕 2007-8-17 16:53 0
痴心绝对雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	痴心绝对 292 楼好东西，收藏咯！谢谢LZ分享 2007-8-21 08:16 0
vxworks 雪币： 195 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	vxworks 1 293 楼很强的VM，下来学习。 2007-8-21 10:43 0
hooray 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	hooray 294 楼这人做的~ 真是又好,又强! 2007-8-24 09:13 0
为你心跳雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	为你心跳 295 楼楼主的汇编很强呀。我真的很佩服。哎。一定向楼主学习多动脑子 2007-8-24 18:32 0
刘国华雪币： 104 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 296 楼既生TMD，何生SoftWorm 2007-8-24 20:44 0
sunsjw 雪币： 8744 活跃值： (5210) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 297 楼 softworm成都的吗？ 2007-8-29 10:39 0
zlq112000 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	zlq112000 298 楼真TMD 厉害 2007-9-5 23:00 0
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 299 楼顶一下,看了老兄的东西,长知识哦 2007-9-8 08:50 0
爱琴海雪币： 1355 活跃值： (339) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 300 楼好文,真强,学习了 2007-9-8 11:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

softworm

发帖

1050

回帖

1210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (368) ◀ 1 ... 5 6 7 8 9 10 11 12 13 14 15 ▶
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 276 楼跟过里面的确实恐怖 2007-6-12 22:13 0
davidhee 雪币： 732 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 140 粉丝 1 关注私信	davidhee 277 楼牛人看不懂第三队的CrackMe中的VM，找到这个VM教程学习.... http://bbs.pediy.com/attachment.php?attachmentid=3717&d=1166251919 2007-6-14 16:07 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 278 楼厉害,来晚了 2007-6-23 15:57 0
opzzz 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	opzzz 279 楼终于等来这篇文章了，等以后有精力再认真学习，感谢softworm！ 2007-6-24 15:59 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 280 楼人气这么高! 不支持都不行啊! 2007-6-27 21:42 0
ahkke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ahkke 281 楼看不懂啊 2007-6-29 10:04 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 282 楼先收藏了谢谢哈 2007-7-10 05:15 0
远大雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	远大 283 楼不懂~~~~~~~~~~` 2007-7-13 12:54 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 284 楼 VM由6部分组成。下面为注入的tracer(hi shooooJ)对VirtualAlloc的拦截记录(实际分配时会按页对齐)。Dump后补这6个区段就可以了(Virtual Machine Anti-Dumper会导致运行失败)。----------------请教这里是怎么做的?tracer是个工具吗?能详细说一下吗?看到这里就卡住了, 2007-7-14 10:32 0
Thinker 雪币： 226 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	Thinker 285 楼 xuexi ...谢了 2007-7-18 15:55 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 286 楼写段代码注入挂上去就行了,这不是必须的,用OD对VirtualAlloc下硬件执行断点,最开始的6次调用就是为VM分配内存. 今天看了一下新版的VM,有些不同了: 1. VM_Context内大部分的field,offset可变 2. VM代码变形增强了,比较明显的是增加了Execryptor那样的假跳转,如: mov bl,imm8 add bl,imm8 ... inc bl js xxx 要是等于JMP,下面是dead codes 这个js要么等于JMP,要么等于NOP,清理代码难度增加了代码变形是递归的,前面的mov... 也可能是别的模样,若不能正确处理,反汇编的结果要乱套 3. 好象还有1种,走分枝的哪条路径是一样的,最终会到同样的地方. 这玩艺大概就是文档中所说的Multi Branch 2007-7-19 10:57 0
ICE冰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ICE冰 287 楼收藏+支持ing 2007-7-26 12:10 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 288 楼看这大家对softworm的赞叹都很高兴呀学习呀 2007-7-29 00:00 0
wuchuanren 雪币： 214 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	wuchuanren 2 289 楼 ..............强.............................. 2007-7-29 09:27 0
deardream 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	deardream 290 楼不行了，这个要顶一下，刚好最近要攻坚themida。。。。学习 2007-8-16 14:19 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 291 楼楼主是火星人，鉴定完毕 2007-8-17 16:53 0
痴心绝对雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	痴心绝对 292 楼好东西，收藏咯！谢谢LZ分享 2007-8-21 08:16 0
vxworks 雪币： 195 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	vxworks 1 293 楼很强的VM，下来学习。 2007-8-21 10:43 0
hooray 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	hooray 294 楼这人做的~ 真是又好,又强! 2007-8-24 09:13 0
为你心跳雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	为你心跳 295 楼楼主的汇编很强呀。我真的很佩服。哎。一定向楼主学习多动脑子 2007-8-24 18:32 0
刘国华雪币： 104 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 296 楼既生TMD，何生SoftWorm 2007-8-24 20:44 0
sunsjw 雪币： 8744 活跃值： (5210) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 297 楼 softworm成都的吗？ 2007-8-29 10:39 0
zlq112000 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	zlq112000 298 楼真TMD 厉害 2007-9-5 23:00 0
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 299 楼顶一下,看了老兄的东西,长知识哦 2007-9-8 08:50 0
爱琴海雪币： 1355 活跃值： (339) 能力值： ( LV13，RANK：920 ) 在线值：发帖 74 回帖 660 粉丝 7 关注私信	爱琴海 13 300 楼好文,真强,学习了 2007-9-8 11:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复