首页
社区
课程
招聘
欢迎评测 EncryptPE V2.2004.5.18 Preview
发表于: 2004-5-16 18:29 14788

欢迎评测 EncryptPE V2.2004.5.18 Preview

2004-5-16 18:29
14788
收藏
免费 6
支持
分享
最新回复 (40)
雪    币: 260
活跃值: (167)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
26
最初由 老王 发布
请不要吝啬你的意见和建议!
注:该版本为预览版,不发放此版本的注册码!

下载:http://www.encryptpe.com/EncryptPEV22004518Preview.zip 或 附件
点击下载:附件! 点击下载:附件!


老王,你最好在你的壳外面再包装一层壳 看看能不能把杀毒软件误报病毒这样的问题解决

呵呵,没试过这个方法,仅仅是建议,希望你的壳越来越强
2004-5-27 00:34
0
雪    币: 274
活跃值: (165)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
27
最初由 vcasm 发布


老王,你最好在你的壳外面再包装一层壳 看看能不能把杀毒软件误报病毒这样的问题解决

呵呵,没试过这个方法,仅仅是建议,希望你的壳越来越强


新版本没报病毒吧?!
把我那个DLL用加密壳包装一下倒是可以,还不知能不能兼容呢。不过这没法避免下次再报有“病毒”的可能性。
2004-5-27 12:03
0
雪    币: 260
活跃值: (167)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
28
最初由 老王 发布


新版本没报病毒吧?!
把我那个DLL用加密壳包装一下倒是可以,还不知能不能兼容呢。不过这没法避免下次再报有“病毒”的可能性。


呵呵 把你的壳做成变形壳 最好模仿别的壳的代码伪装自己 看他们怎么去识别这个“病毒”
2004-5-27 19:10
0
雪    币: 227
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
变形
2004-5-29 01:45
0
雪    币: 415
活跃值: (94)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
老王,老用户可以升级么?
我是你的首批用户哦!
2004-5-29 16:28
0
雪    币: 274
活跃值: (165)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
31
最初由 hj001 发布
老王,老用户可以升级么?
我是你的首批用户哦!


当然可以升级了,具体的等正式版出来再说吧。
2004-5-30 12:08
0
雪    币: 398
活跃值: (1078)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
32
基本上搞清流程. 以那个脱我为例

0. 加壳程序 1 启动, 加载 V.EPE
1. HOOK CallWndProc 注入所有进程
2. 修改 Explorer 的 WndProc
3. 发送自定义消息给 Explorer
4. Explorer 接受消息后启动调试器
5. 调试器启动 加壳程序 2 (我们看到的)
6. 加壳程序 1 Exit

从上可见, 老王的壳对系统影响太大,
不过搞清了流程, 要脱他也不难了.
2004-6-2 11:30
0
雪    币: 274
活跃值: (165)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
33
最初由 simonzh2000 发布
基本上搞清流程. 以那个脱我为例

0. 加壳程序 1 启动, 加载 V.EPE
1. HOOK CallWndProc 注入所有进程
2. 修改 Explorer 的 WndProc
3. 发送自定义消息给 Explorer
4. Explorer 接受消息后启动调试器
5. 调试器启动 加壳程序 2 (我们看到的)
6. 加壳程序 1 Exit

从上可见, 老王的壳对系统影响太大,
不过搞清了流程, 要脱他也不难了.


好!流程就是这样!不过我根本就没采取什么手段去阻止你分析出这个流程!连反跟踪都没有!
这个壳的关键就在如何对抗反跟踪(我也在调试),如何修复大范围的代码替换。脱是肯定能脱的,难不难试过才知道!如果你愿意,可以向我索取最新的EncryptPE主程序,看看需要多少时间完成脱壳及修复。如果这个时间不算太短,我认为我就是成功的。

对系统稍有影响是真的,为什么要说影响太大?!在我的壳还不很稳定的情况下可以这么说,一旦稳定运行,能给系统造成什么大的影响?执行效率不如不加壳这是肯定的。你可能会说1消息HOOK和进程注入,其实很多软件都这样做,万能五笔、金山词霸等,你还会说4在Explorer中启动调试器,那我问你双进程的方式不是也要我建一个调试进程?我只不过是放在Explorer中新建一个线程而已,效果是一样的。
2004-6-2 12:22
0
雪    币: 398
活跃值: (1078)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
34
老王别激动, 可能我说的过了点, 跟你说声对不起.
脱壳过程也是我的学习过程.
新版发行后, 希望能给个注册码.

只是有一点建议:
把调试器放在Explorer 里, 总有点不放心.
而且加壳程序 2 退出后, Explorer 的 WndProc 没改回来.
这好象不大好吧?  不知道新版中是否已修改.
2004-6-2 12:34
0
雪    币: 274
活跃值: (165)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
35
最初由 simonzh2000 发布
老王别激动, 可能我说的过了点, 跟你说声对不起.
脱壳过程也是我的学习过程.
新版发行后, 希望能给个注册码.

只是有一点建议:
把调试器放在Explorer 里, 总有点不放心.
而且加壳程序 2 退出后, Explorer 的 WndProc 没改回来.
这好象不大好吧? 不知道新版中是否已修改.


有人跟我讨论我高兴!
我发完贴子就等啊等啊,一有人回复我就激动,呵呵!何况你的回复内容还是深入分析之后形成的。有人研究它并告诉我有关它的问题和建议,我求之不得!

我原也想在加壳程序运行完毕后清理所有现场,包括从Explorer中退出,但实际编码后发现我好象没有机会从Explorer中FreeLibrary,这样窗口过程函数就不能恢复了,一旦恢复,我的下一个程序就没法运行了。
你认为让EPE呆在Explorer进程中,总让人觉得不放心是吧?是不是因为木马喜欢这么做?你不放心的是我会搞破坏?
2004-6-2 13:02
0
雪    币: 398
活跃值: (1078)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
36
我的担心是 一旦 Explorer 因某种原因退出,
被调试的用户程序也会突然终止, 可能来不及保存数据。

木马我并不担心, 倒是可能有一些不明底细的用户不放心.
还有一些杀毒软件, 可能又会误报警.
2004-6-2 13:14
0
雪    币: 274
活跃值: (165)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
37
最初由 simonzh2000 发布
我的担心是 一旦 Explorer 因某种原因退出,
被调试的用户程序也会突然终止, 可能来不及保存数据。

木马我并不担心, 倒是可能有一些不明底细的用户不放心.
还有一些杀毒软件, 可能又会误报警.


嗯,你的担心有道理!
双进程应该都有这个问题,调试器因某种原因退出了,被调试的用户程序就异常中止了。
我只能尽量避免因为我的问题造成Explorer异常退出。

杀毒软件的担心就不好说了,呵呵,我没有主动权。
2004-6-2 13:21
0
雪    币: 153
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
哦,原来是这样,那么,w2k下对service可不可以加壳?
2004-6-2 16:29
0
雪    币: 274
活跃值: (165)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
39
最初由 verybigbug 发布
哦,原来是这样,那么,w2k下对service可不可以加壳?


因为加壳程序的运行依赖于Explorer,所以服务可能不能用EPE加壳,还没有测试过。
2004-6-2 19:23
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
40
当初我说remote老王不答,我以为错了...原来真是
2004-6-2 19:27
0
雪    币: 274
活跃值: (165)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
41
最初由 forgot 发布
当初我说remote老王不答,我以为错了...原来真是


其实不叫remote,remote是2000下的,98下没有remote,消息HOOK而已。
2004-6-2 19:45
0
游客
登录 | 注册 方可回帖
返回
//