[注意]StarForce Protected Notepad （高手来玩玩）-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 2 楼 ******** 2007-1-29 21:48 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 3 楼 Down it. 2007-1-29 21:56 0
softbihu 雪币： 226 活跃值： (214) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 103 粉丝 1 关注私信	softbihu 3 4 楼顶~ 强贴留言~ 2007-1-29 23:26 0
luyt 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 0 关注私信	luyt 5 楼提示可以运行123次，请问备份注册表过期后恢复注册表是不是又有123次？用Ghost备份系统再恢复呢？ 2007-1-29 23:57 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 6 楼 dump出来不难,但有一些简单的API的代码被提取出来运行了. 比如KERNEL32.GetCurrentProcess这个函数代码很少,就被提取出来放到分配的堆中运行了: 011120B8 64:A1 18000000 mov eax,fs:[18] 011120BE 8B40 20 mov eax,[eax+20] 011120C1 C3 retn 所以应该只需修复IAT就能脱壳了.这个记事本程序貌似有24个API被hack了. 按原记事本的IAT修复,运行没问题,但字符串都不见了,原来字符串资源ID列表也被改了,对照原版修复字符串资源ID列表.下面是两次修复后的脱壳版: 上传的附件： notepad_unpacked.rar （32.86kb，7次下载） 2007-1-30 09:49 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 7 楼 2007-1-30 10:34 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 8 楼楼上纯表情灌水素不好D 2007-1-30 10:41 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 9 楼楼上纯文字灌水也素不好D 2007-1-30 10:53 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 10 楼最初由 dwing* 发布* dump出来不难,但有一些简单的API的代码被提取出来运行了. 比如KERNEL32.GetCurrentProcess这个函数代码很少,就被提取出来放到分配的堆中运行了: 011120B8 64:A1 18000000 mov eax,fs:[18] 011120BE 8B40 20 mov eax,[eax+20] 011120C1 C3 retn ........ dwing大强太了 2007-1-30 11:05 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 11 楼最初由 dwing* 发布* 按原记事本的IAT修复,运行没问题,但字符串都不见了,原来字符串资源ID列表也被改了,对照原版修复字符串资源ID列表.下面是两次修复后的脱壳版: ........ 要从原文里提取出来这样是BXD 2007-1-30 11:23 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 12 楼最初由 dwing* 发布* 按原记事本的IAT修复,运行没问题,但字符串都不见了,原来字符串资源ID列表也被改了,对照原版修复字符串资源ID列表.下面是两次修复后的脱壳版: ........ 要从原文里提取出来这样是BXD 2007-1-30 11:36 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 13 楼只参考原文也能提取,只不过花时间太长了其实这个测试程序的保护壳没有想象中那么强. 没有VM,没有破坏代码段,更没破坏OEP,驱动看起来像唬人的. IAT修改了KERNEL32和USER32的部分API地址,根据代码特征就能找回来, 字符串ID也可以根据运行情况修正. 2007-1-30 12:41 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 14 楼直接dump出来呢？可行吗？ 2007-1-30 20:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 2 楼 ******** 2007-1-29 21:48 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 3 楼 Down it. 2007-1-29 21:56 0
softbihu 雪币： 226 活跃值： (214) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 103 粉丝 1 关注私信	softbihu 3 4 楼顶~ 强贴留言~ 2007-1-29 23:26 0
luyt 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 0 关注私信	luyt 5 楼提示可以运行123次，请问备份注册表过期后恢复注册表是不是又有123次？用Ghost备份系统再恢复呢？ 2007-1-29 23:57 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 6 楼 dump出来不难,但有一些简单的API的代码被提取出来运行了. 比如KERNEL32.GetCurrentProcess这个函数代码很少,就被提取出来放到分配的堆中运行了: 011120B8 64:A1 18000000 mov eax,fs:[18] 011120BE 8B40 20 mov eax,[eax+20] 011120C1 C3 retn 所以应该只需修复IAT就能脱壳了.这个记事本程序貌似有24个API被hack了. 按原记事本的IAT修复,运行没问题,但字符串都不见了,原来字符串资源ID列表也被改了,对照原版修复字符串资源ID列表.下面是两次修复后的脱壳版: 上传的附件： notepad_unpacked.rar （32.86kb，7次下载） 2007-1-30 09:49 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 7 楼 2007-1-30 10:34 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 8 楼楼上纯表情灌水素不好D 2007-1-30 10:41 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 9 楼楼上纯文字灌水也素不好D 2007-1-30 10:53 0
绫濑遥雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	绫濑遥 1 10 楼最初由 dwing* 发布* dump出来不难,但有一些简单的API的代码被提取出来运行了. 比如KERNEL32.GetCurrentProcess这个函数代码很少,就被提取出来放到分配的堆中运行了: 011120B8 64:A1 18000000 mov eax,fs:[18] 011120BE 8B40 20 mov eax,[eax+20] 011120C1 C3 retn ........ dwing大强太了 2007-1-30 11:05 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 11 楼最初由 dwing* 发布* 按原记事本的IAT修复,运行没问题,但字符串都不见了,原来字符串资源ID列表也被改了,对照原版修复字符串资源ID列表.下面是两次修复后的脱壳版: ........ 要从原文里提取出来这样是BXD 2007-1-30 11:23 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 12 楼最初由 dwing* 发布* 按原记事本的IAT修复,运行没问题,但字符串都不见了,原来字符串资源ID列表也被改了,对照原版修复字符串资源ID列表.下面是两次修复后的脱壳版: ........ 要从原文里提取出来这样是BXD 2007-1-30 11:36 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 13 楼只参考原文也能提取,只不过花时间太长了其实这个测试程序的保护壳没有想象中那么强. 没有VM,没有破坏代码段,更没破坏OEP,驱动看起来像唬人的. IAT修改了KERNEL32和USER32的部分API地址,根据代码特征就能找回来, 字符串ID也可以根据运行情况修正. 2007-1-30 12:41 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 14 楼直接dump出来呢？可行吗？ 2007-1-30 20:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复