[分享]StarForce3 Unpack-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (66) ◀ 1 2 3
royedia 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	royedia 2008-7-28 22:29 51 楼 0 不知道会不会有更牛的人来破解...
wojkl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 16 回帖 62 粉丝 0 关注私信	wojkl 2008-8-1 23:52 52 楼 0 被VM加VM代码如何还原呢?... ...
redtin 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	redtin 2008-10-27 08:50 53 楼 0 顶强人一个。VM啊VM我搞的都头大了。
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2008-10-27 11:34 54 楼 0 这个要来膜拜下~
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 874 粉丝 4 关注私信	mstwugui 6 2008-10-27 11:50 55 楼 0 一起膜拜楼主
mydear256 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 42 粉丝 0 关注私信	mydear256 2008-10-28 20:28 56 楼 0 这种文章不留言,太浪费了,楼主高人.
nichlurs 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nichlurs 2008-10-30 22:50 57 楼 0 呵呵又被顶上来了不知道现在还有没有人玩这个必须说的是，ring0部分不能忽略，在模拟Jcc有时会到r0里去
tomzhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	tomzhu 2008-10-31 13:47 58 楼 0 纯膜拜，虽然看不懂。。
DonQuixote 雪币： 175 活跃值： (211) 能力值： ( LV12，RANK：330 ) 在线值：发帖 27 回帖 224 粉丝 1 关注私信	DonQuixote 8 2008-10-31 21:21 59 楼 0 这位兄弟是高人 r0的jcc莫非就是从模拟代码的时候有一段从r3跳到r0再跳回r3来继续模拟哪里? 你的反汇编工具是怎么写出来的,是否有什么简洁的方法处理500个opcode?
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 2008-11-1 10:53 60 楼 0 仰慕一下大牛
nichlurs 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nichlurs 2008-11-1 22:35 61 楼 0 我只是个菜鸟而已，高人确不敢当:) 以前在分析的时候有碰到过jcc在r3...(r0<->r3)...r3里，不过这种情况通常很少。那个vm logger的实现我写的比较糙，还是要知道每个opcode的类型，比如vmtype_jmp, vmtype_mov_src_ind等。分析每个opcode，当产生reg_des/reg_src的时候记录。当时分析op类型用了3，4个小时，眼冒星啊...
telmm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	telmm 2008-11-4 22:36 62 楼 0 厉害,看不太懂,先收藏了~~~
少华雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	少华 2008-12-5 01:55 63 楼 0 请教大牛们一个问题。。有没有什么方法可以在执行INT1中断函数前。。转到我得处理函数里面啊。。。不能用IDTHOOK或者INLINE hook,发短信给我或者留言哈。。。再次感谢
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 2008-12-5 17:25 64 楼 0 都是大牛，纯膜拜文章是收藏了。
笑熬浆糊雪币： 523 活跃值： (827) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 223 粉丝 4 关注私信	笑熬浆糊 2 2009-5-5 17:54 65 楼 0 一个可行的调试方案就是使用不依赖int1 int3的断点，调试器最主要的功能就是让目标程序在某行代码处停下来，记录、修改，并能恢复运行，用int1 int3做断点是因为这是控制转移到debugger的最好的方法，但实际上还有很多控制转移的方法，比如jmp或者int XX，都可以用来做断点。当然，没有INT3完美，因为JMP是5字节，INT XX 2字节，而INT3只有一个字节，但这并不是太大的问题。超级大亮点！！！！！！！！！！！！！！！！！！！！！！！！！！！
saiweng 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	saiweng 2009-5-7 15:35 66 楼 0 高手是这样炼成的呀
火影雪币： 332 活跃值： (25) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 0 关注私信	火影 11 2009-5-7 17:55 67 楼 0 强啊，只有膜拜的份儿
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (66) ◀ 1 2 3
royedia 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	royedia 2008-7-28 22:29 51 楼 0 不知道会不会有更牛的人来破解...
wojkl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 16 回帖 62 粉丝 0 关注私信	wojkl 2008-8-1 23:52 52 楼 0 被VM加VM代码如何还原呢?... ...
redtin 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	redtin 2008-10-27 08:50 53 楼 0 顶强人一个。VM啊VM我搞的都头大了。
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2008-10-27 11:34 54 楼 0 这个要来膜拜下~
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 874 粉丝 4 关注私信	mstwugui 6 2008-10-27 11:50 55 楼 0 一起膜拜楼主
mydear256 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 42 粉丝 0 关注私信	mydear256 2008-10-28 20:28 56 楼 0 这种文章不留言,太浪费了,楼主高人.
nichlurs 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nichlurs 2008-10-30 22:50 57 楼 0 呵呵又被顶上来了不知道现在还有没有人玩这个必须说的是，ring0部分不能忽略，在模拟Jcc有时会到r0里去
tomzhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	tomzhu 2008-10-31 13:47 58 楼 0 纯膜拜，虽然看不懂。。
DonQuixote 雪币： 175 活跃值： (211) 能力值： ( LV12，RANK：330 ) 在线值：发帖 27 回帖 224 粉丝 1 关注私信	DonQuixote 8 2008-10-31 21:21 59 楼 0 这位兄弟是高人 r0的jcc莫非就是从模拟代码的时候有一段从r3跳到r0再跳回r3来继续模拟哪里? 你的反汇编工具是怎么写出来的,是否有什么简洁的方法处理500个opcode?
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 2008-11-1 10:53 60 楼 0 仰慕一下大牛
nichlurs 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nichlurs 2008-11-1 22:35 61 楼 0 我只是个菜鸟而已，高人确不敢当:) 以前在分析的时候有碰到过jcc在r3...(r0<->r3)...r3里，不过这种情况通常很少。那个vm logger的实现我写的比较糙，还是要知道每个opcode的类型，比如vmtype_jmp, vmtype_mov_src_ind等。分析每个opcode，当产生reg_des/reg_src的时候记录。当时分析op类型用了3，4个小时，眼冒星啊...
telmm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	telmm 2008-11-4 22:36 62 楼 0 厉害,看不太懂,先收藏了~~~
少华雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	少华 2008-12-5 01:55 63 楼 0 请教大牛们一个问题。。有没有什么方法可以在执行INT1中断函数前。。转到我得处理函数里面啊。。。不能用IDTHOOK或者INLINE hook,发短信给我或者留言哈。。。再次感谢
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 2008-12-5 17:25 64 楼 0 都是大牛，纯膜拜文章是收藏了。
笑熬浆糊雪币： 523 活跃值： (827) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 223 粉丝 4 关注私信	笑熬浆糊 2 2009-5-5 17:54 65 楼 0 一个可行的调试方案就是使用不依赖int1 int3的断点，调试器最主要的功能就是让目标程序在某行代码处停下来，记录、修改，并能恢复运行，用int1 int3做断点是因为这是控制转移到debugger的最好的方法，但实际上还有很多控制转移的方法，比如jmp或者int XX，都可以用来做断点。当然，没有INT3完美，因为JMP是5字节，INT XX 2字节，而INT3只有一个字节，但这并不是太大的问题。超级大亮点！！！！！！！！！！！！！！！！！！！！！！！！！！！
saiweng 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	saiweng 2009-5-7 15:35 66 楼 0 高手是这样炼成的呀
火影雪币： 332 活跃值： (25) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 0 关注私信	火影 11 2009-5-7 17:55 67 楼 0 强啊，只有膜拜的份儿
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复