[讨论]UnpackMe PeCancer 2007.07.16-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]UnpackMe PeCancer 2007.07.16

发表于: 2007-7-16 22:13 9623

[讨论]UnpackMe PeCancer 2007.07.16

netsowell

2007-7-16 22:13

9623

大家帮测试测试,看看兼容性和强度如何,起用了一点anti,开动了vm,使用了更高一级别的代码扰乱,添加了一个Logo(感谢黑夜彩虹帮我制作logo),下一阶段代码动态解密执行就要隆重登场啦.程序是一个我写的SDK测试程序.其中使用了两处乱序,都是SDK完成,没有偷取OEP

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

SDKDemo1.rar （119.90kb，125次下载）

收藏・5

免费・0

支持

最新回复 (28) 1 2 ▶
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 2 楼 2000系统运行正常 2007-7-17 00:18 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 3 楼偶其实觉得Themida就很不错了开个玩笑。其实乱序那个SafeDisc好像是比较厉害也不知道是怎么抽去的。基本上代码段都有被抽得地方。不过偶还是考虑自己改改GCC的源代码。或者其他什么C++编译器估计那个威力比较大。 2007-7-17 00:56 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 4 楼 API全部模拟，狠。 2007-7-17 09:37 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 5 楼飘过~~~ 2007-7-17 09:41 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 6 楼曾经有个偶像说过,一切XXX都是纸老虎偷取代码两push 两pop一jmp 对于会用ida脚本的人直接可以无视代码虚拟的框架如果指令和pcode一一对应的话, 更加无视上传的附件： 123456.rar （23.40kb，42次下载） 2007-7-17 09:56 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 7 楼补区断看来补不了，虚拟机中访问到了比0x00400000更低的地址 2007-7-17 09:59 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 8 楼强，速度够快!!!! 2007-7-17 10:23 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 9 楼请问如何必开IAT加密 2007-7-17 10:29 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 10 楼 99%的作者都喜欢偷懒 2007-7-17 10:53 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 11 楼堀北真是强悍！！！ 2007-7-17 11:15 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 12 楼能不能写个详细教程 2007-7-17 11:20 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 13 楼对啊，vm和sc全部还原 2007-7-17 11:21 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 14 楼作者太强悍，VM不会搞，纯属靠运气堀北更强悍，优化得这么好。。我只会整个能运行的。。。上传的附件： SDKDemo1.Unpacked.rar （24.33kb，29次下载） 2007-7-17 11:21 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 15 楼看来我的水平还差很远，呵呵，IAT都还搞定!!! 楼上不是也把vm代码还原出来了，只是sc是补区段，强 2007-7-17 11:28 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 16 楼这个VM只是2个PUSH语句，所以直接还原了，VM我不会补区段，多了我就没办法了，所以这叫运气 SC补区段也是这个的意思，多了是不可能去还原的，所以直接补区段好了 2007-7-17 11:41 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 17 楼其实SC还原对于MessageBox也是比较简单，就是代码多了，不知道堀北怎么还原 2007-7-17 11:49 0
zdingyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	zdingyi 18 楼这个要顶一个 2007-7-17 12:24 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 19 楼前面说过了 SC写ida脚本 VM解析pcode 不过代码多了, 作者的VM也要加的上才行, 从它的dll看得出目前支持的指令性非常有限作者可能想在壳里面有多方向的发展, 反而导致各个方向都不强目前这个版本的iat处理上反而不及以前版本的pe123 其实壳只要对某一特定方面有特点就可以了, 比如 aspr的userbuffer armidiallo的双进程和cc exec, q3的anti themida, vmp的vm epe的注入等 007的免杀等待作者以后的 "代码动态解密执行" 希望这方面比acp强 2007-7-17 12:35 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 20 楼此壳核心在两方面,push pop现在根本没有效验,大家可以发现一个规律,就是不管如何,取出来的数据每次都是一样的,且正常情况下不会改变,此用做以后真正代码解密key和效验,vm opcode是动态变动的,而且每次非Demo编译所有Opcode会从代码级别调整,iat调整了,是考虑兼容性了,以后或许iat都可以不加密了,因为很快大家就可以看到SDK的威力 2007-7-17 15:35 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 21 楼其它功能强大了,iat自然没必要加密了 2007-7-17 15:49 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 22 楼只要有重重保镖保驾护航，裸奔也无所谓滴。我不明白，为什么牛人们的anti都不写得苛刻一点，ReadProcessMemory失败就pass了. 2007-7-17 16:08 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 23 楼苛刻意味着兼容性不好~~~ 2007-7-17 17:01 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 24 楼下午我的偶像跟我说，不能这么打击人偶像的话向来都是那么深~ 每次听的都是半桶水说起来他去北京也快1年了真是功能如此强大，精彩超呼想象 2007-7-17 20:42 0
太虚伟了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	太虚伟了 25 楼完全不懂...只能说顶 2007-7-17 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

netsowell

发帖

554

回帖

450

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 2 楼 2000系统运行正常 2007-7-17 00:18 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 3 楼偶其实觉得Themida就很不错了开个玩笑。其实乱序那个SafeDisc好像是比较厉害也不知道是怎么抽去的。基本上代码段都有被抽得地方。不过偶还是考虑自己改改GCC的源代码。或者其他什么C++编译器估计那个威力比较大。 2007-7-17 00:56 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 4 楼 API全部模拟，狠。 2007-7-17 09:37 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 5 楼飘过~~~ 2007-7-17 09:41 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 6 楼曾经有个偶像说过,一切XXX都是纸老虎偷取代码两push 两pop一jmp 对于会用ida脚本的人直接可以无视代码虚拟的框架如果指令和pcode一一对应的话, 更加无视上传的附件： 123456.rar （23.40kb，42次下载） 2007-7-17 09:56 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 7 楼补区断看来补不了，虚拟机中访问到了比0x00400000更低的地址 2007-7-17 09:59 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 8 楼强，速度够快!!!! 2007-7-17 10:23 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 9 楼请问如何必开IAT加密 2007-7-17 10:29 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 10 楼 99%的作者都喜欢偷懒 2007-7-17 10:53 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 11 楼堀北真是强悍！！！ 2007-7-17 11:15 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 12 楼能不能写个详细教程 2007-7-17 11:20 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 13 楼对啊，vm和sc全部还原 2007-7-17 11:21 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 14 楼作者太强悍，VM不会搞，纯属靠运气堀北更强悍，优化得这么好。。我只会整个能运行的。。。上传的附件： SDKDemo1.Unpacked.rar （24.33kb，29次下载） 2007-7-17 11:21 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 15 楼看来我的水平还差很远，呵呵，IAT都还搞定!!! 楼上不是也把vm代码还原出来了，只是sc是补区段，强 2007-7-17 11:28 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 16 楼这个VM只是2个PUSH语句，所以直接还原了，VM我不会补区段，多了我就没办法了，所以这叫运气 SC补区段也是这个的意思，多了是不可能去还原的，所以直接补区段好了 2007-7-17 11:41 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 17 楼其实SC还原对于MessageBox也是比较简单，就是代码多了，不知道堀北怎么还原 2007-7-17 11:49 0
zdingyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	zdingyi 18 楼这个要顶一个 2007-7-17 12:24 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 19 楼前面说过了 SC写ida脚本 VM解析pcode 不过代码多了, 作者的VM也要加的上才行, 从它的dll看得出目前支持的指令性非常有限作者可能想在壳里面有多方向的发展, 反而导致各个方向都不强目前这个版本的iat处理上反而不及以前版本的pe123 其实壳只要对某一特定方面有特点就可以了, 比如 aspr的userbuffer armidiallo的双进程和cc exec, q3的anti themida, vmp的vm epe的注入等 007的免杀等待作者以后的 "代码动态解密执行" 希望这方面比acp强 2007-7-17 12:35 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 20 楼此壳核心在两方面,push pop现在根本没有效验,大家可以发现一个规律,就是不管如何,取出来的数据每次都是一样的,且正常情况下不会改变,此用做以后真正代码解密key和效验,vm opcode是动态变动的,而且每次非Demo编译所有Opcode会从代码级别调整,iat调整了,是考虑兼容性了,以后或许iat都可以不加密了,因为很快大家就可以看到SDK的威力 2007-7-17 15:35 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 21 楼其它功能强大了,iat自然没必要加密了 2007-7-17 15:49 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 22 楼只要有重重保镖保驾护航，裸奔也无所谓滴。我不明白，为什么牛人们的anti都不写得苛刻一点，ReadProcessMemory失败就pass了. 2007-7-17 16:08 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 23 楼苛刻意味着兼容性不好~~~ 2007-7-17 17:01 0
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 24 楼下午我的偶像跟我说，不能这么打击人偶像的话向来都是那么深~ 每次听的都是半桶水说起来他去北京也快1年了真是功能如此强大，精彩超呼想象 2007-7-17 20:42 0
太虚伟了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	太虚伟了 25 楼完全不懂...只能说顶 2007-7-17 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复