能力值:
( LV9,RANK:290 )
|
-
-
2 楼
观注中...
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
还是魔兽好,大家来魔兽
|
能力值:
(RANK:10 )
|
-
-
4 楼
这个地方不能讨论技术吗?我一发贴就关,给人家解答的机会不给?
论坛是科学的.
|
能力值:
(RANK:210 )
|
-
-
5 楼
哦,如果是科学的,那么请版主亲自核实我说的是否属实,以论定此贴质量。
|
能力值:
(RANK:10 )
|
-
-
6 楼
NO CLOSE,如果是问题的讨论,请修改你的贴,AGAIN.
|
能力值:
(RANK:210 )
|
-
-
7 楼
膜拜linhanshi
|
能力值:
(RANK:10 )
|
-
-
8 楼
If you are I agree, I shut down
|
能力值:
(RANK:10 )
|
-
-
9 楼
之所以锁帖,是因为此帖影响论坛气氛。如果你认为这帖有问题,到时会与作者沟通的,如果确实有问题,精华标志会去除的。非常欢迎Nooby来讨论。
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
林老还是比较开明的,不像某些LJ版主
|
能力值:
(RANK:10 )
|
-
-
11 楼
WAIT...
|
能力值:
(RANK:210 )
|
-
-
12 楼
我不说别的,
原贴回复里我发的文件,在壳解压后,设置EIP 100739D(已在贴中给出),DUMP,不修复IAT,直接可以本机运行,不知道楼主那么多徒劳有何用?
内容一看,API被加密,无法跨平台。
按照此帖方法,只找到了4-5处API,其它全部是硬编地址,不知道文章里吹嘘的IAT已修复等等是否属实。
我早先写过一个脚本,但是对此例不适用,后来又写了一篇文章,讲如何修复,现已经提高阅读权限,防止被剽窃了自圆其说。
我要求不高,既然作者说很简单,已经完全修复,那就请放一个脱了壳的,给我们见识一下,你的方法太高深,不愿意写出来,我也不强求了。
文件在:
http://bbs.pediy.com/showthread.php?t=82354
56楼
希望不要出现什么XP记事本万能脱壳机之类的笑话。
|
能力值:
(RANK:10 )
|
-
-
13 楼
看到你的回帖.
万能脱壳机应该是没有的.
|
能力值:
(RANK:210 )
|
-
-
14 楼
有的,只要是XP记事本,什么壳都能脱掉,而且全自动去花,VM代码重塑,乱序还原,完美修复,MD5都不变。
|
能力值:
(RANK:10 )
|
-
-
15 楼
没说的,9#
|
能力值:
(RANK:210 )
|
-
-
16 楼
今天很热,说话带刺,望前辈包容。
个人的态度:技术上的问题不容有迁就。
|
能力值:
(RANK:10 )
|
-
-
17 楼
Nooby:
9#的说明很清楚,联系作者以后会有一个很明确的说法.
|
能力值:
( LV9,RANK:680 )
|
-
-
18 楼
淡定,淡定~~
大家消消火
Nooby兄是想讨论技术问题,当然无可非议,不过如果能直接联系发帖作者或者发帖讨论的语气较为平和一些效果肯定更好;而林版作为看雪版主,肯定是希望论坛始终有一种和谐的氛围,深为理解。
技术讨论,大大的欢迎,只是有问题可以商量,大伙都是朋友,不必大动肝火。
Nooby兄也是版主,也喜欢有人在自己版块上热论技术问题,但肯定不会希望有人针锋相对,大打出手吧。淡定,过年嘛,一团和气多好
都是高手,可能没我插话的份,呵呵。
|
能力值:
(RANK:210 )
|
-
-
19 楼
联系过1次,见原贴,结果被猛忽悠了一下,雷到了.
|
能力值:
( LV9,RANK:140 )
|
-
-
20 楼
hehe 估计作者看中了你的脚本
|
能力值:
( LV9,RANK:610 )
|
-
-
21 楼
回复LZ,我说过是保留脱壳,所以这部分代码按正常道理来说它会在后面解密开IAT,我只需修复现有的IAT表就是了,如果,它在后面不对IAT表解密,那么它程序运行起来也就不大可能,我是这样认为的,
所以,我只做到这里,觉得后面没必要再做了,按常规,IAT应该会自己处理开的,无须再修复的,脱壳中会保留那部分解开算法~~!
LZ对IAT的解密有质疑我也是理解的,不过你写代码多了就知道了,尤其是C程序写多了,那部分在那,那部分在那很容易就发现了,至于没全解开IAT...是否会有兼容问题,我没试,看代码很头疼的,最近又没耐心看~~~!
我说过,我并没有到代码的入口,也就是dump之前是代码刚被解开~~!按常规来说,不修复被加密的IAT是可以的,因为会按VMP的算法自行解开的.
很多偷掉的代码我都么修,就是让它自行解开~~!
我说的那不好,继续提出你宝贵的意见,一起研究哈~~
|
能力值:
( LV9,RANK:610 )
|
-
-
22 楼
脱壳的主要方针是还原部分代码,可以保留重要的保护代码,为的是程序能够稳定运行,所以,我在脱壳的时候会保留大部分VMP的解密代码的,所以只要选择性修复,当然不用修复那么多IAT的^_^
|
能力值:
( LV9,RANK:180 )
|
-
-
23 楼
插个话, 不用回帖~
其实也不用争了.
脱壳的定义每个人不同
但是脱壳是为了要逆向, 个人觉得这方式的脱壳对逆向并无帮助
等于在OD里动态追踪原文件.
|
能力值:
( LV9,RANK:610 )
|
-
-
24 楼
LS,说的对,我这个脱壳是需要的是稳定~~!
LS,是需要逆向,那么这个方法不太适合LS很多代码是会保留的,不过在脱掉之后,那些被加密的部分可以手动修复,哪个好象蛮不容易的,我的脱壳方针是不影响任何功能,宁可保留保护代码.但是前提是,脱掉的部分够我研究
|
能力值:
(RANK:210 )
|
-
-
25 楼
以事实看,你修的都是没用的,不修一样运行,你修也修不干净,还不如不修.
证据在此 http://bbs.pediy.com/showthread.php?t=82506
//需要注意的是ImportRec修复程序的时候不要把应留下的清00了,否则程序会可爱的报错的,我们需要修复的是几个API地址,其中还有保护代码,所以需要稍微处理一下就好了.实际也就不到10个API的修复,手动能把它修复了哈哈~~~!
你说可以手动,你就手动修一个出来吧. 不要忘了你自己说的
修复的时候可以参照我发过的IAT和输入表关系的贴来修复~~! 基本上不会出现本机能运行其它运行就错误的情况,这里只是保留式脱壳所以,部分偷掉的代码,根本没处理,但是按以下方法程序保证正常运行.
另外这样脱壳可以得精华,我那个视频也能得精华,不是么?还少了许多误人子弟的话语.
|
|
|