首页
社区
课程
招聘
[注意]StarForce Protected Notepad (高手来玩玩)
发表于: 2007-1-29 21:28 5768

[注意]StarForce Protected Notepad (高手来玩玩)

2007-1-29 21:28
5768
不错,这就是传说中的StarForce,一个带驱动并且非常类似狗的壳

加壳后连被保护程序一共4个文件,被保护后超大 60k左右的程序变为6M左右(大了100倍左右)。

但并不是保护所有的程序都要按倍数计算的,而是其中多了保护的库文件和驱动文件,总共5M多。

StarForce一般光盘保护很强悍的壳,现在也提供了可执行文件的保护,让人终于见到了它了。

这个是由StarForce保护的Notepad,高手来玩玩吧,因为比较大,传到了临时空间。
为高手分析提供一个可用的序列号:9RM4YR6-79RDN7F-ZKXZRWB-B6KGCQR

匿名提取文件连接 http://pickup.mofile.com/5115084623031096  
或登录Mofile,使用提取码 5115084623031096 提取文件

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (13)
雪    币: 47147
活跃值: (20460)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
********
2007-1-29 21:48
0
雪    币: 97697
活跃值: (200839)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
3
Down it.
2007-1-29 21:56
0
雪    币: 226
活跃值: (214)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
4
顶~
强贴留言~
2007-1-29 23:26
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
提示可以运行123次, 请问备份注册表过期后恢复注册表是不是又有123次? 用Ghost备份系统再恢复呢?
2007-1-29 23:57
0
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
dump出来不难,但有一些简单的API的代码被提取出来运行了.
比如KERNEL32.GetCurrentProcess这个函数代码很少,就被提取出来放到分配的堆中运行了:
011120B8      64:A1 18000000   mov     eax,fs:[18]
011120BE      8B40 20          mov     eax,[eax+20]
011120C1      C3               retn
所以应该只需修复IAT就能脱壳了.这个记事本程序貌似有24个API被hack了.

按原记事本的IAT修复,运行没问题,但字符串都不见了,原来字符串资源ID列表也被改了,对照原版修复字符串资源ID列表.下面是两次修复后的脱壳版:
上传的附件:
2007-1-30 09:49
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
7
2007-1-30 10:34
0
雪    币: 214
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
楼上纯表情灌水素不好D
2007-1-30 10:41
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
9
楼上纯文字灌水也素不好D
2007-1-30 10:53
0
雪    币: 214
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
最初由 dwing 发布
dump出来不难,但有一些简单的API的代码被提取出来运行了.
比如KERNEL32.GetCurrentProcess这个函数代码很少,就被提取出来放到分配的堆中运行了:
011120B8 64:A1 18000000 mov eax,fs:[18]
011120BE 8B40 20 mov eax,[eax+20]
011120C1 C3 retn
........


dwing大强太了
2007-1-30 11:05
0
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
11
最初由 dwing 发布
按原记事本的IAT修复,运行没问题,但字符串都不见了,原来字符串资源ID列表也被改了,对照原版修复字符串资源ID列表.下面是两次修复后的脱壳版:
........


要从原文里提取出来
这样是BXD
2007-1-30 11:23
0
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
12
最初由 dwing 发布
按原记事本的IAT修复,运行没问题,但字符串都不见了,原来字符串资源ID列表也被改了,对照原版修复字符串资源ID列表.下面是两次修复后的脱壳版:
........


要从原文里提取出来
这样是BXD
2007-1-30 11:36
0
雪    币: 217
活跃值: (99)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
只参考原文也能提取,只不过花时间太长了
其实这个测试程序的保护壳没有想象中那么强.
没有VM,没有破坏代码段,更没破坏OEP,驱动看起来像唬人的.
IAT修改了KERNEL32和USER32的部分API地址,根据代码特征就能找回来,
字符串ID也可以根据运行情况修正.
2007-1-30 12:41
0
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
14
直接dump出来呢?
可行吗?
2007-1-30 20:25
0
游客
登录 | 注册 方可回帖
返回
//