[分享]StarForce3 Unpack-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (66) ◀ 1 2 3
royedia 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	royedia 51 楼不知道会不会有更牛的人来破解... 2008-7-28 22:29 0
wojkl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 14 回帖 62 粉丝 0 关注私信	wojkl 52 楼被VM加VM代码如何还原呢?... ... 2008-8-1 23:52 0
redtin 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	redtin 53 楼顶强人一个。VM啊VM我搞的都头大了。 2008-10-27 08:50 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 54 楼这个要来膜拜下~ 2008-10-27 11:34 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 55 楼一起膜拜楼主 2008-10-27 11:50 0
mydear256 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 42 粉丝 0 关注私信	mydear256 56 楼这种文章不留言,太浪费了,楼主高人. 2008-10-28 20:28 0
nichlurs 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nichlurs 57 楼呵呵又被顶上来了不知道现在还有没有人玩这个必须说的是，ring0部分不能忽略，在模拟Jcc有时会到r0里去 2008-10-30 22:50 0
tomzhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	tomzhu 58 楼纯膜拜，虽然看不懂。。 2008-10-31 13:47 0
DonQuixote 雪币： 135 活跃值： (226) 能力值： ( LV12，RANK：330 ) 在线值：发帖 27 回帖 224 粉丝 1 关注私信	DonQuixote 8 59 楼这位兄弟是高人 r0的jcc莫非就是从模拟代码的时候有一段从r3跳到r0再跳回r3来继续模拟哪里? 你的反汇编工具是怎么写出来的,是否有什么简洁的方法处理500个opcode? 2008-10-31 21:21 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 60 楼仰慕一下大牛 2008-11-1 10:53 0
nichlurs 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nichlurs 61 楼我只是个菜鸟而已，高人确不敢当:) 以前在分析的时候有碰到过jcc在r3...(r0<->r3)...r3里，不过这种情况通常很少。那个vm logger的实现我写的比较糙，还是要知道每个opcode的类型，比如vmtype_jmp, vmtype_mov_src_ind等。分析每个opcode，当产生reg_des/reg_src的时候记录。当时分析op类型用了3，4个小时，眼冒星啊... 2008-11-1 22:35 0
telmm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	telmm 62 楼厉害,看不太懂,先收藏了~~~ 2008-11-4 22:36 0
少华雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	少华 63 楼请教大牛们一个问题。。有没有什么方法可以在执行INT1中断函数前。。转到我得处理函数里面啊。。。不能用IDTHOOK或者INLINE hook,发短信给我或者留言哈。。。再次感谢 2008-12-5 01:55 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 64 楼都是大牛，纯膜拜文章是收藏了。 2008-12-5 17:25 0
笑熬浆糊雪币： 398 活跃值： (972) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 65 楼一个可行的调试方案就是使用不依赖int1 int3的断点，调试器最主要的功能就是让目标程序在某行代码处停下来，记录、修改，并能恢复运行，用int1 int3做断点是因为这是控制转移到debugger的最好的方法，但实际上还有很多控制转移的方法，比如jmp或者int XX，都可以用来做断点。当然，没有INT3完美，因为JMP是5字节，INT XX 2字节，而INT3只有一个字节，但这并不是太大的问题。超级大亮点！！！！！！！！！！！！！！！！！！！！！！！！！！！ 2009-5-5 17:54 0
saiweng 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	saiweng 66 楼高手是这样炼成的呀 2009-5-7 15:35 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 67 楼强啊，只有膜拜的份儿 2009-5-7 17:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (66) ◀ 1 2 3
royedia 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	royedia 51 楼不知道会不会有更牛的人来破解... 2008-7-28 22:29 0
wojkl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 14 回帖 62 粉丝 0 关注私信	wojkl 52 楼被VM加VM代码如何还原呢?... ... 2008-8-1 23:52 0
redtin 雪币： 232 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	redtin 53 楼顶强人一个。VM啊VM我搞的都头大了。 2008-10-27 08:50 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 54 楼这个要来膜拜下~ 2008-10-27 11:34 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 55 楼一起膜拜楼主 2008-10-27 11:50 0
mydear256 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 42 粉丝 0 关注私信	mydear256 56 楼这种文章不留言,太浪费了,楼主高人. 2008-10-28 20:28 0
nichlurs 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nichlurs 57 楼呵呵又被顶上来了不知道现在还有没有人玩这个必须说的是，ring0部分不能忽略，在模拟Jcc有时会到r0里去 2008-10-30 22:50 0
tomzhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	tomzhu 58 楼纯膜拜，虽然看不懂。。 2008-10-31 13:47 0
DonQuixote 雪币： 135 活跃值： (226) 能力值： ( LV12，RANK：330 ) 在线值：发帖 27 回帖 224 粉丝 1 关注私信	DonQuixote 8 59 楼这位兄弟是高人 r0的jcc莫非就是从模拟代码的时候有一段从r3跳到r0再跳回r3来继续模拟哪里? 你的反汇编工具是怎么写出来的,是否有什么简洁的方法处理500个opcode? 2008-10-31 21:21 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 60 楼仰慕一下大牛 2008-11-1 10:53 0
nichlurs 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nichlurs 61 楼我只是个菜鸟而已，高人确不敢当:) 以前在分析的时候有碰到过jcc在r3...(r0<->r3)...r3里，不过这种情况通常很少。那个vm logger的实现我写的比较糙，还是要知道每个opcode的类型，比如vmtype_jmp, vmtype_mov_src_ind等。分析每个opcode，当产生reg_des/reg_src的时候记录。当时分析op类型用了3，4个小时，眼冒星啊... 2008-11-1 22:35 0
telmm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	telmm 62 楼厉害,看不太懂,先收藏了~~~ 2008-11-4 22:36 0
少华雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	少华 63 楼请教大牛们一个问题。。有没有什么方法可以在执行INT1中断函数前。。转到我得处理函数里面啊。。。不能用IDTHOOK或者INLINE hook,发短信给我或者留言哈。。。再次感谢 2008-12-5 01:55 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 64 楼都是大牛，纯膜拜文章是收藏了。 2008-12-5 17:25 0
笑熬浆糊雪币： 398 活跃值： (972) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 65 楼一个可行的调试方案就是使用不依赖int1 int3的断点，调试器最主要的功能就是让目标程序在某行代码处停下来，记录、修改，并能恢复运行，用int1 int3做断点是因为这是控制转移到debugger的最好的方法，但实际上还有很多控制转移的方法，比如jmp或者int XX，都可以用来做断点。当然，没有INT3完美，因为JMP是5字节，INT XX 2字节，而INT3只有一个字节，但这并不是太大的问题。超级大亮点！！！！！！！！！！！！！！！！！！！！！！！！！！！ 2009-5-5 17:54 0
saiweng 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	saiweng 66 楼高手是这样炼成的呀 2009-5-7 15:35 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 67 楼强啊，只有膜拜的份儿 2009-5-7 17:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复