首页
社区
课程
招聘
看看偶写的‘壳’
发表于: 2004-10-9 13:05 5064

看看偶写的‘壳’

2004-10-9 13:05
5064
收藏
免费 1
支持
分享
最新回复 (13)
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
2
没看。支持一下!
2004-10-9 13:11
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
3
KV 报有病毒
请楼主核实一下
免得大家误会
2004-10-9 13:29
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
4
PE Protector 1.00 - 1.01 -> Rafael Ahucha
csdsjkk == Rafael Ahucha ???
2004-10-9 13:32
0
雪    币: 690
活跃值: (1826)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
5
无法运行。
2004-10-9 13:45
0
雪    币: 209
活跃值: (45)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
全是误报,
偶发誓没毒,偶也不是Rafael Ahucha
2004-10-9 14:23
0
雪    币: 229
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
01020651     68 A5280101         PUSH    ccc.010128A5
01020656     EB 03               JMP     SHORT ccc.0102065B
0102065B     C3                  RETN

ret to oep
010128A5    .  6A 70             PUSH    70
010128A7    .  68 08160001       PUSH    ccc.01001608
010128AC    .  E8 67030000       CALL    ccc.01012C18
2004-10-9 14:26
0
雪    币: 209
活跃值: (45)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
这个壳是偶用了两、三天时间写出来的,
程序很粗糙,没有anti debug,
除了资源等部分数据外,其他所有代码、数据均做加密处理,
另外,偶想问大家;偶写的花指令是否有意义,大家跟踪时觉得“累”吗?
2004-10-9 14:40
0
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
9
have a look,如果花花(没有使用紧凑的动态解码)不是反跟踪的应该可以“除根”的说!:)
2004-10-9 14:45
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
10
快速脱壳二法

花指令挺多,IAT没有加密

1、ESP 定律
HR 0006FFC0
F9,过几步就OK了

2、BP VirtualProtect
这个断点要多走几步了

01020646     F3:AA               rep stos byte ptr es:[edi]
//清扫战场
01020648     61                  popad
01020649     EB 02               jmp short ccc.0102064D
0102064D     9D                  popfd
0102064E     EB 01               jmp short ccc.01020651
01020651     68 A5280101         push ccc.010128A5
//ESP定律直接中断在这
01020656     EB 03               jmp short ccc.0102065B
0102065B     C3                  retn
//飞向光明之巅!

010128A5     6A 70               push 70
//OEP
010128A7     68 08160001         push ccc.01001608
010128AC     E8 67030000         call ccc.01012C18
010128B1     33DB                xor ebx,ebx
010128B3     895D FC             mov dword ptr ss:[ebp-4],ebx
010128B6     8D45 80             lea eax,dword ptr ss:[ebp-80]
010128B9     50                  push eax
010128BA     FF15 90100001       call dword ptr ds:[1001090] ; kernel32.GetStartupInfoA

2004-10-9 14:48
0
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
11
好!支持:D
2004-10-9 15:45
0
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
12
晕,跑不起来。。。Win2k sp3
2004-10-9 15:54
0
雪    币: 255
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
我也是跑不起来
2004-10-9 16:02
0
雪    币: 117
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
一样,跑不起来。win2000 sp4
2004-10-10 15:00
0
游客
登录 | 注册 方可回帖
返回
//