新学脱壳的一堆疑问-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2 楼 1、Aspr等猛壳都有很多反跟踪等陷井，而在98系统用OD有很多功能使不上(如API函数中断)。无法对付反跟踪。SI是可以的，不过比起OD麻烦很多。 2、不太清楚，可能是若不修复IAT，则IAT地址只对应本机。而修复后就可以动态查找IAT地址。 3、stolen code <==入口代码抽取或替换，脱壳后则必须修复这些入口代码(个人看法)。Pre-dip <=应该是伪注册吧。 4、硬件断点属于标志断点(也不太清楚)。 5、Shift+F7/F8/F9 <=忽略异常并步入/忽略异常并单步/忽略异常并运行。:p 2004-9-8 09:32 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 3 楼去www.chinadfcg.com 找找二哥（weiyi75）的脱壳入门和进阶教学，很有用的!可惜二哥他走了，真希望他能早点回来！ 2004-9-8 10:58 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 4 楼偶已经看过了，谢谢他的教程，BUT Please don't tell me HOW,please tell me WHY 2004-9-8 11:22 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 5 楼现在的搞脱壳能知道HOW已经不错了，要知道WHY，可能还有很长的路要走，一些系统底层的运行机制，以及编译原理、对OP-code的熟练掌握，等等。反正一大堆偶还不懂的东东，慢慢来吧，呵呵！偶也是个新手，请高手们指正指正！ 2004-9-8 11:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼关于Pre-dip可以看看lipton的相关帖子 2004-9-8 12:53 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 7 楼 DFCG上好几位大大都是初中生啊？太佩服了 2004-9-8 14:22 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 8 楼 1.关于Win9X系统SetBreakPoint 细心的读者在上面可以发现一个问题，那就是在SetBreakPoint函数中有一个限制，就是函数的入口地址不能大于0x80000000。确实如此，我们知道0x80000000以上的空间是系统共有的空间，我们一般不能修改这些空间的程序，否则将影响系统的工作。在NT环境下，所有的DLL都被加载在0x80000000下，修改0x80000000以下空间的代码不会对其它进程产生影响。所以在NT下可以用上面的方案监视所有的DLL函数。然而，在Win9X下，kernel32.dll，user32.dll，gdi32.dll等系统DLL都被加载到0x80000000以上的空间，修改这些空间的代码将破坏系统工作。那么，在9X下就不能监视这些DLL模块的函数吗？ API HOOK是不可以完成我们的目标，但我们可以利用修改导入表的方案实现目标。首先，修改导入表，将函数的调用地址指向我们的监视代码，在监视代码中，我们无需对函数编程，只是简单调用jmp XXXX就可以了。然后，设置断点时，不是设置在函数的入口点，而是设置在我们的监视代码jmp XXXX上。这样，当我们的模块调用系统API函数时，就可以实现监视功能了。 2.不是DLL版本问题，修复是为了能够对应你的系统将输入表各函数地址自动正确映射填充。你不修复，只能运行于你的系统（数值一早就固定下来） 3.4.5.到DFCG看看能不能翻上资料。。。相信兄弟往后会很猛:D :D :D 2004-9-8 15:51 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 9 楼最初由 RoBa 发布 DFCG上好几位大大都是初中生啊？太佩服了哦？有谁？我想认识认识。 2004-9-8 17:37 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 10 楼最初由 RoBa 发布偶已经看过了，谢谢他的教程，BUT Please don't tell me HOW,please tell me WHY 呵呵，我也是这样想的，所以长期在脱壳方面走不远，如果兄弟真有兴趣，建议直接学习壳的源码，自己写PE方面的小程序，如Winroot兄弟的PEshow或者写壳等等。从简单的壳开始跟踪，并设法弄清每段代码的功能。呵呵，个人意见:D 2004-9-8 21:17 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 11 楼已经写了个烂程序，呵呵，感觉挺好玩的。:) 2004-9-9 15:02 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 12 楼 cyclotron 哥，说的对啊！！！支持一下；最初由 cyclotron 发布呵呵，我也是这样想的，所以长期在脱壳方面走不远，如果兄弟真有兴趣，建议直接学习壳的源码，自己写PE方面的小程序，如Winroot兄弟的PEshow或者写壳等等。从简单的壳开始跟踪，并设法弄清每段代码的功能。呵呵，个人意见:D 2004-9-13 15:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2 楼 1、Aspr等猛壳都有很多反跟踪等陷井，而在98系统用OD有很多功能使不上(如API函数中断)。无法对付反跟踪。SI是可以的，不过比起OD麻烦很多。 2、不太清楚，可能是若不修复IAT，则IAT地址只对应本机。而修复后就可以动态查找IAT地址。 3、stolen code <==入口代码抽取或替换，脱壳后则必须修复这些入口代码(个人看法)。Pre-dip <=应该是伪注册吧。 4、硬件断点属于标志断点(也不太清楚)。 5、Shift+F7/F8/F9 <=忽略异常并步入/忽略异常并单步/忽略异常并运行。:p 2004-9-8 09:32 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 3 楼去www.chinadfcg.com 找找二哥（weiyi75）的脱壳入门和进阶教学，很有用的!可惜二哥他走了，真希望他能早点回来！ 2004-9-8 10:58 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 4 楼偶已经看过了，谢谢他的教程，BUT Please don't tell me HOW,please tell me WHY 2004-9-8 11:22 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 5 楼现在的搞脱壳能知道HOW已经不错了，要知道WHY，可能还有很长的路要走，一些系统底层的运行机制，以及编译原理、对OP-code的熟练掌握，等等。反正一大堆偶还不懂的东东，慢慢来吧，呵呵！偶也是个新手，请高手们指正指正！ 2004-9-8 11:43 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼关于Pre-dip可以看看lipton的相关帖子 2004-9-8 12:53 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 7 楼 DFCG上好几位大大都是初中生啊？太佩服了 2004-9-8 14:22 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 8 楼 1.关于Win9X系统SetBreakPoint 细心的读者在上面可以发现一个问题，那就是在SetBreakPoint函数中有一个限制，就是函数的入口地址不能大于0x80000000。确实如此，我们知道0x80000000以上的空间是系统共有的空间，我们一般不能修改这些空间的程序，否则将影响系统的工作。在NT环境下，所有的DLL都被加载在0x80000000下，修改0x80000000以下空间的代码不会对其它进程产生影响。所以在NT下可以用上面的方案监视所有的DLL函数。然而，在Win9X下，kernel32.dll，user32.dll，gdi32.dll等系统DLL都被加载到0x80000000以上的空间，修改这些空间的代码将破坏系统工作。那么，在9X下就不能监视这些DLL模块的函数吗？ API HOOK是不可以完成我们的目标，但我们可以利用修改导入表的方案实现目标。首先，修改导入表，将函数的调用地址指向我们的监视代码，在监视代码中，我们无需对函数编程，只是简单调用jmp XXXX就可以了。然后，设置断点时，不是设置在函数的入口点，而是设置在我们的监视代码jmp XXXX上。这样，当我们的模块调用系统API函数时，就可以实现监视功能了。 2.不是DLL版本问题，修复是为了能够对应你的系统将输入表各函数地址自动正确映射填充。你不修复，只能运行于你的系统（数值一早就固定下来） 3.4.5.到DFCG看看能不能翻上资料。。。相信兄弟往后会很猛:D :D :D 2004-9-8 15:51 0
springkang[DFCG 雪币： 323 活跃值： (589) 能力值： ( LV12，RANK：450 ) 在线值：发帖 21 回帖 256 粉丝 3 关注私信	springkang[DFCG 11 9 楼最初由 RoBa 发布 DFCG上好几位大大都是初中生啊？太佩服了哦？有谁？我想认识认识。 2004-9-8 17:37 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 10 楼最初由 RoBa 发布偶已经看过了，谢谢他的教程，BUT Please don't tell me HOW,please tell me WHY 呵呵，我也是这样想的，所以长期在脱壳方面走不远，如果兄弟真有兴趣，建议直接学习壳的源码，自己写PE方面的小程序，如Winroot兄弟的PEshow或者写壳等等。从简单的壳开始跟踪，并设法弄清每段代码的功能。呵呵，个人意见:D 2004-9-8 21:17 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 11 楼已经写了个烂程序，呵呵，感觉挺好玩的。:) 2004-9-9 15:02 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 12 楼 cyclotron 哥，说的对啊！！！支持一下；最初由 cyclotron 发布呵呵，我也是这样想的，所以长期在脱壳方面走不远，如果兄弟真有兴趣，建议直接学习壳的源码，自己写PE方面的小程序，如Winroot兄弟的PEshow或者写壳等等。从简单的壳开始跟踪，并设法弄清每段代码的功能。呵呵，个人意见:D 2004-9-13 15:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复