[注意]收集一下工具创意……-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[注意]收集一下工具创意……

发表于: 2007-5-2 20:32 14175

[注意]收集一下工具创意……

forgot

2007-5-2 20:32

14175

将用来打发我毕业后的空虚。

请切合实际，不要来什么万能脱壳机之类的直接被忽略、鄙视的请求

最好还有实现方法的纲要

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・5

免费・0

支持

最新回复 (36) 1 2 ▶
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼精神错乱吧？汗 2007-5-2 20:55 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 5 楼 EXECryptor,脱壳机, 2007-5-2 20:57 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 6 楼电信网通2台服务器有时差 1.文件比较工具，如是代码，直接以汇编代码格式给出不同点； 2.给LordPE等PE工具加个功能：在现有的重定位表中插入/追加新的重定位项 3.虚拟机调试器 4.…… 2007-5-2 20:58 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼 kanxue的第一个工具我已经写了一个类似的 2可能在我的pe tools里面顺便实现 3可能作不过rordbg 2007-5-2 21:13 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼自动对比调试器~~~ 1. 两个相同的程序（功能相同，数据不同，比如一个是无壳的,一个是脱壳出来的，脱壳出来的执行不正常）,自动比较两个程序在哪里走的分支不同。 2. 或者是同一个程序，比如说是一个验证注册码的，输入注册码:"a",和输入注册码"b",假如注册码"b"是正确的，比较按"验证"按钮后程序在哪个地方走了不同分支。 2007-5-2 21:19 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 9 楼这狠！！！！！！ 2007-5-2 21:45 0
zlxknt 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	zlxknt 10 楼脱壳前和脱壳后的运行比较 2007-5-2 21:53 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 11 楼昨天有人发给我1个外挂,一看是把ExeCryptor的注册部分和vm剥离出来用了,摆弄了一天只有认输了,不知出自谁的手笔感觉严重跟不上形势了 2007-5-2 23:16 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 12 楼 64位反汇编引擎 2007-5-2 23:30 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 13 楼 forgot 准备出手，我就给个难题来说说。现在壳偷头都偷上瘾了，这个是个体力活，最好利用工具来实现。本身编译工具是固定的，那么框架也就固定了，并且由于编译器的多样化，头一般偷的都不多，8行10行还行，多了壳自己仿真会出问题的，所以偷头的大小也就那么点，所以现在恢复头都是从堆栈里面抓数据后，贴标准框架上去。 1。能根据link来大致判别编译器，随后以初始环境为依据，等壳交还初始环境的时候，从堆栈里面提标准框架的数据作为一个表保存。这样不管壳怎么个偷法，对照贴框架和关键数据，废了壳这招。 2。vb，delphi，VC都有标准框架，应该比较容易实现。其它的慢慢来 3。我是ESP定律的坚定支持者，不管如何，以初始环境为依据，壳无论怎么变化，还是得回初始环境，初始环境的记录很重要。能在初始环境中不迷失方向的办法就是记录它。能否在真真假假的初始环境中记录好流程，是对付各种未来壳的有效办法。当然如何掩盖自己开的调试环境和对付各种壳的anti，那是你的功力的问题了：） 2007-5-3 01:30 0
cater 雪币： 109 活跃值： (438) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 412 粉丝 2 关注私信	cater 5 14 楼作个系统吧~ 2007-5-3 01:41 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 15 楼 VMP,CV的修复工具 ASPR,TMD,EXEC,EPE脱壳机 2007-5-3 07:18 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 16 楼这个也不错 2007-5-3 07:19 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 17 楼 vm解码器，比如vmp和tmd 2007-5-3 08:46 0
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 18 楼这个相信都很多人想要，呵呵 2007-5-3 08:48 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 19 楼文件汇编比较，我记得我改写过一个，但是在比对的时候好像有重要的问题。具体忘了 2007-5-3 09:57 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 20 楼众望所归 2007-5-3 16:03 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 21 楼哪个学校？哪个学校可以出现你这样的外星人？ 2007-5-3 16:07 0
燕北飞雪币： 4 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	燕北飞 22 楼 1. 两个相同的程序（功能相同，数据不同，比如一个是无壳的,一个是脱壳出来的，脱壳出来的执行不正常）,自动比较两个程序在哪里走的分支不同。这个好～支持 2007-5-3 16:44 0
yyjcn 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	yyjcn 23 楼 1.文件比较工具，如是代码，直接以汇编代码格式给出不同点；支持也方便新手学习。 2007-5-3 18:59 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 24 楼 od调试ring0 参考windbg调试内核调试模块的原理 2007-5-10 01:50 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 25 楼呵～或改造windbg，赋予其OD界面 ;) 2007-5-10 09:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

forgot

155

发帖

3771

回帖

1060

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼精神错乱吧？汗 2007-5-2 20:55 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 5 楼 EXECryptor,脱壳机, 2007-5-2 20:57 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 6 楼电信网通2台服务器有时差 1.文件比较工具，如是代码，直接以汇编代码格式给出不同点； 2.给LordPE等PE工具加个功能：在现有的重定位表中插入/追加新的重定位项 3.虚拟机调试器 4.…… 2007-5-2 20:58 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼 kanxue的第一个工具我已经写了一个类似的 2可能在我的pe tools里面顺便实现 3可能作不过rordbg 2007-5-2 21:13 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 8 楼自动对比调试器~~~ 1. 两个相同的程序（功能相同，数据不同，比如一个是无壳的,一个是脱壳出来的，脱壳出来的执行不正常）,自动比较两个程序在哪里走的分支不同。 2. 或者是同一个程序，比如说是一个验证注册码的，输入注册码:"a",和输入注册码"b",假如注册码"b"是正确的，比较按"验证"按钮后程序在哪个地方走了不同分支。 2007-5-2 21:19 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 9 楼这狠！！！！！！ 2007-5-2 21:45 0
zlxknt 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	zlxknt 10 楼脱壳前和脱壳后的运行比较 2007-5-2 21:53 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 11 楼昨天有人发给我1个外挂,一看是把ExeCryptor的注册部分和vm剥离出来用了,摆弄了一天只有认输了,不知出自谁的手笔感觉严重跟不上形势了 2007-5-2 23:16 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 12 楼 64位反汇编引擎 2007-5-2 23:30 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 13 楼 forgot 准备出手，我就给个难题来说说。现在壳偷头都偷上瘾了，这个是个体力活，最好利用工具来实现。本身编译工具是固定的，那么框架也就固定了，并且由于编译器的多样化，头一般偷的都不多，8行10行还行，多了壳自己仿真会出问题的，所以偷头的大小也就那么点，所以现在恢复头都是从堆栈里面抓数据后，贴标准框架上去。 1。能根据link来大致判别编译器，随后以初始环境为依据，等壳交还初始环境的时候，从堆栈里面提标准框架的数据作为一个表保存。这样不管壳怎么个偷法，对照贴框架和关键数据，废了壳这招。 2。vb，delphi，VC都有标准框架，应该比较容易实现。其它的慢慢来 3。我是ESP定律的坚定支持者，不管如何，以初始环境为依据，壳无论怎么变化，还是得回初始环境，初始环境的记录很重要。能在初始环境中不迷失方向的办法就是记录它。能否在真真假假的初始环境中记录好流程，是对付各种未来壳的有效办法。当然如何掩盖自己开的调试环境和对付各种壳的anti，那是你的功力的问题了：） 2007-5-3 01:30 0
cater 雪币： 109 活跃值： (438) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 412 粉丝 2 关注私信	cater 5 14 楼作个系统吧~ 2007-5-3 01:41 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 15 楼 VMP,CV的修复工具 ASPR,TMD,EXEC,EPE脱壳机 2007-5-3 07:18 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 16 楼这个也不错 2007-5-3 07:19 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 17 楼 vm解码器，比如vmp和tmd 2007-5-3 08:46 0
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 18 楼这个相信都很多人想要，呵呵 2007-5-3 08:48 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 19 楼文件汇编比较，我记得我改写过一个，但是在比对的时候好像有重要的问题。具体忘了 2007-5-3 09:57 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 20 楼众望所归 2007-5-3 16:03 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 21 楼哪个学校？哪个学校可以出现你这样的外星人？ 2007-5-3 16:07 0
燕北飞雪币： 4 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	燕北飞 22 楼 1. 两个相同的程序（功能相同，数据不同，比如一个是无壳的,一个是脱壳出来的，脱壳出来的执行不正常）,自动比较两个程序在哪里走的分支不同。这个好～支持 2007-5-3 16:44 0
yyjcn 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	yyjcn 23 楼 1.文件比较工具，如是代码，直接以汇编代码格式给出不同点；支持也方便新手学习。 2007-5-3 18:59 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 24 楼 od调试ring0 参考windbg调试内核调试模块的原理 2007-5-10 01:50 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 25 楼呵～或改造windbg，赋予其OD界面 ;) 2007-5-10 09:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复