能力值:
( LV4,RANK:50 )
|
-
-
26 楼
|
能力值:
( LV4,RANK:50 )
|
-
-
27 楼
最初由 vcasm 发布
老王,你最好在你的壳外面再包装一层壳 看看能不能把杀毒软件误报病毒这样的问题解决
呵呵,没试过这个方法,仅仅是建议,希望你的壳越来越强
新版本没报病毒吧?!
把我那个DLL用加密壳包装一下倒是可以,还不知能不能兼容呢。不过这没法避免下次再报有“病毒”的可能性。
|
能力值:
( LV4,RANK:50 )
|
-
-
28 楼
最初由 老王 发布
新版本没报病毒吧?!
把我那个DLL用加密壳包装一下倒是可以,还不知能不能兼容呢。不过这没法避免下次再报有“病毒”的可能性。
呵呵 把你的壳做成变形壳 最好模仿别的壳的代码伪装自己 看他们怎么去识别这个“病毒”
|
能力值:
( LV2,RANK:10 )
|
-
-
29 楼
变形
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
老王,老用户可以升级么?
我是你的首批用户哦!
|
能力值:
( LV4,RANK:50 )
|
-
-
31 楼
最初由 hj001 发布
老王,老用户可以升级么?
我是你的首批用户哦!
当然可以升级了,具体的等正式版出来再说吧。
|
能力值:
( LV9,RANK:970 )
|
-
-
32 楼
基本上搞清流程. 以那个脱我为例
0. 加壳程序 1 启动, 加载 V.EPE
1. HOOK CallWndProc 注入所有进程
2. 修改 Explorer 的 WndProc
3. 发送自定义消息给 Explorer
4. Explorer 接受消息后启动调试器
5. 调试器启动 加壳程序 2 (我们看到的)
6. 加壳程序 1 Exit
从上可见, 老王的壳对系统影响太大,
不过搞清了流程, 要脱他也不难了.
|
能力值:
( LV4,RANK:50 )
|
-
-
33 楼
最初由 simonzh2000 发布
基本上搞清流程. 以那个脱我为例
0. 加壳程序 1 启动, 加载 V.EPE
1. HOOK CallWndProc 注入所有进程
2. 修改 Explorer 的 WndProc
3. 发送自定义消息给 Explorer
4. Explorer 接受消息后启动调试器
5. 调试器启动 加壳程序 2 (我们看到的)
6. 加壳程序 1 Exit
从上可见, 老王的壳对系统影响太大,
不过搞清了流程, 要脱他也不难了.
好!流程就是这样!不过我根本就没采取什么手段去阻止你分析出这个流程!连反跟踪都没有!
这个壳的关键就在如何对抗反跟踪(我也在调试),如何修复大范围的代码替换。脱是肯定能脱的,难不难试过才知道!如果你愿意,可以向我索取最新的EncryptPE主程序,看看需要多少时间完成脱壳及修复。如果这个时间不算太短,我认为我就是成功的。
对系统稍有影响是真的,为什么要说影响太大?!在我的壳还不很稳定的情况下可以这么说,一旦稳定运行,能给系统造成什么大的影响?执行效率不如不加壳这是肯定的。你可能会说1消息HOOK和进程注入,其实很多软件都这样做,万能五笔、金山词霸等,你还会说4在Explorer中启动调试器,那我问你双进程的方式不是也要我建一个调试进程?我只不过是放在Explorer中新建一个线程而已,效果是一样的。
|
能力值:
( LV9,RANK:970 )
|
-
-
34 楼
老王别激动, 可能我说的过了点, 跟你说声对不起.
脱壳过程也是我的学习过程.
新版发行后, 希望能给个注册码.
只是有一点建议:
把调试器放在Explorer 里, 总有点不放心.
而且加壳程序 2 退出后, Explorer 的 WndProc 没改回来.
这好象不大好吧? 不知道新版中是否已修改.
|
能力值:
( LV4,RANK:50 )
|
-
-
35 楼
最初由 simonzh2000 发布
老王别激动, 可能我说的过了点, 跟你说声对不起.
脱壳过程也是我的学习过程.
新版发行后, 希望能给个注册码.
只是有一点建议:
把调试器放在Explorer 里, 总有点不放心.
而且加壳程序 2 退出后, Explorer 的 WndProc 没改回来.
这好象不大好吧? 不知道新版中是否已修改.
有人跟我讨论我高兴!
我发完贴子就等啊等啊,一有人回复我就激动,呵呵!何况你的回复内容还是深入分析之后形成的。有人研究它并告诉我有关它的问题和建议,我求之不得!
我原也想在加壳程序运行完毕后清理所有现场,包括从Explorer中退出,但实际编码后发现我好象没有机会从Explorer中FreeLibrary,这样窗口过程函数就不能恢复了,一旦恢复,我的下一个程序就没法运行了。
你认为让EPE呆在Explorer进程中,总让人觉得不放心是吧?是不是因为木马喜欢这么做?你不放心的是我会搞破坏?
|
能力值:
( LV9,RANK:970 )
|
-
-
36 楼
我的担心是 一旦 Explorer 因某种原因退出,
被调试的用户程序也会突然终止, 可能来不及保存数据。
木马我并不担心, 倒是可能有一些不明底细的用户不放心.
还有一些杀毒软件, 可能又会误报警.
|
能力值:
( LV4,RANK:50 )
|
-
-
37 楼
最初由 simonzh2000 发布
我的担心是 一旦 Explorer 因某种原因退出,
被调试的用户程序也会突然终止, 可能来不及保存数据。
木马我并不担心, 倒是可能有一些不明底细的用户不放心.
还有一些杀毒软件, 可能又会误报警.
嗯,你的担心有道理!
双进程应该都有这个问题,调试器因某种原因退出了,被调试的用户程序就异常中止了。
我只能尽量避免因为我的问题造成Explorer异常退出。
杀毒软件的担心就不好说了,呵呵,我没有主动权。
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
哦,原来是这样,那么,w2k下对service可不可以加壳?
|
能力值:
( LV4,RANK:50 )
|
-
-
39 楼
最初由 verybigbug 发布
哦,原来是这样,那么,w2k下对service可不可以加壳?
因为加壳程序的运行依赖于Explorer,所以服务可能不能用EPE加壳,还没有测试过。
|
能力值:
![]()
(RANK:1060 )
|
-
-
40 楼
当初我说remote老王不答,我以为错了...原来真是 
|
能力值:
( LV4,RANK:50 )
|
-
-
41 楼
最初由 forgot 发布
当初我说remote老王不答,我以为错了...原来真是
其实不叫remote,remote是2000下的,98下没有remote,消息HOOK而已。
|
|
|
|
