首页
社区
课程
招聘
[求助]一个很强的反调试
发表于: 2008-10-24 02:12 7394

[求助]一个很强的反调试

2008-10-24 02:12
7394
文件下载地址 http://www.rayfile.com/files/9f7d42cc-a101-11dd-8eb9-0014221b798a/
是EXE文件  直接改后缀
原始文件名JR.exe

LOAD都成问题

有兴趣的试下
================、
请留意这句话   
--------------------
是EXE文件  直接改后缀
原始文件名JR.exe
-----------------------

DLL 文件下载地址    http://www.rayfile.com/files/7d1ade51-a1b6-11dd-9c48-0019d11a795f/

请直接更改文件名
请直接更改文件名
请直接更改文件名
请直接更改文件名
请直接更改文件名

--
累了

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (13)
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
2
我说过了,你单发这个东西,谁都分析不得,因为缺少其它DLL,运行都不了,调试器也不了,更看不到它的anti了。

要分析先得发个能用的。

如果谁想静态分析这个壳的话,当我没说。
2008-10-24 13:37
0
雪    币: 156
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我不信,我先下来看看。如果像2楼说的,你的文件不全的话。那就不用试了。
2008-10-24 15:41
0
雪    币: 156
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
可惜,下了半天,下不全。下来解压不了。还真想试试,我还没有发现,调试不了的程序。
或者发我邮箱。bd57869050@163.com
2008-10-24 15:53
0
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
5
不用解压,直接改名就是exe。
缺少DLL文件,运行不了的
2008-10-24 17:02
0
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
信息补全了
我本想只要知道什么调试软件能LOAD就行了
只要能看到代码就行了
CASM32没有用
还要自己脱壳
OD可以带壳调试做KEYGEN
2008-10-24 18:30
0
雪    币: 340
活跃值: (922)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
7
antidubug做在了dll里。
2008-10-25 15:52
0
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
8
anti是在程序入口点之前的,可能是tls或dll,我还没弄明白。

不过我可以告诉你如何能保住调试器的“命”

看这里,真是感谢zzlfont,这个方法太妙了

http://bbs.pediy.com/showthread.php?t=71366&highlight=tLS

将OD改名为qq.exe,试试吧。至少这一招在我这里成功了。

如果没有瑞星,可以试试奇虎的。
2008-10-25 22:11
0
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
装杀毒的等于给系统洗澡
不干
360无效
改QQ。EXE无效
2008-10-27 22:58
0
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
10
是在TLS回调中,不是DLL.

DLL已经调过了,是个正常的。

另外回楼主,我是让你试试360的帐号保险箱,我猜跟瑞星的保险箱原理差不多。

我说改名,是为了用瑞星的保险柜将OD保护起来,这样壳就杀不掉了。
你可能没看我给你的那贴的链接吧。

至少我按照上面那贴的方法,可以调试了。我用的是瑞星。
只不过这壳真的挺猛,目前还没有什么进展。
也因为我对壳这方面太弱。

你不妨试试。
对于TLS我不太懂,所以不知道怎么去掉。报歉。
2008-10-27 23:39
0
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
感觉是VMP这个在作怪  
不排除是幽灵壳[把A壳假冒成B壳]
或者本身就是带壳校验编译程序的

那就遇到高人了
------------
360装了也保护了
仍然无效
我用进程执法官提示EXPLORER出错 然后一起关了
2008-10-29 21:49
0
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
12
[QUOTE=gott;527865]感觉是VMP这个在作怪  
不排除是幽灵壳[把A壳假冒成B壳]
或者本身就是带壳校验编译程序的

那就遇到高人了
------------
360装了也保护了
仍然无效
我用进程执法官提示EXPLORER出错 然后一起关了[/QUOTE]

那就没法了,看来只有瑞星的保险箱比较保险。

基本上确定它是通过杀父进程的方式来使OD关闭的。试试PhantOm,也许会有效。

http://bbs.pediy.com/showthread.php?t=55099
2008-10-29 22:56
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
http://sbworkshop.com/SBW_Demo.zip
这个也不能调试,搞得我没招
2008-10-30 08:09
0
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
14
可以调试的嘛,跑起来了。
没感觉了。。。
2008-11-2 06:05
0
游客
登录 | 注册 方可回帖
返回
//