首页
社区
课程
招聘
[原创]第二个试炼品,给新手玩
发表于: 2009-9-4 13:34 11313

[原创]第二个试炼品,给新手玩

2009-9-4 13:34
11313

  把我的壳做了点小改进,给新手练手玩,
  最近在看BPE32,希望能所长进,
  我作为一个非专业学计算机,学起来还真是辛苦,


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (23)
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
下来看看,楼主加油,我的专业更偏门了
2009-9-4 15:26
0
雪    币: 218
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
好像和上次的差不多,修复IAT

最近也在写壳,敢问楼主,这样的加密方式只能手动修复吗
上传的附件:
2009-9-4 16:23
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我不知道是不是只能手动修复,你试过自动方式行不行嘛?

希望能在QQ上加你

和上次有点差别的,因为你是手动修复,肯定是到OEP,然后DUMP,手动修复API,所以感觉没什么差别,

如果是40个API以上的话,呵呵,你就会发现有区别了,

在IAT加密的地方,使用了加花和反 INT 3断点,

反硬件和反内存断点,暂时还没找到方法
2009-9-4 16:50
0
雪    币: 102
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
iat好像很分散啊..
2009-9-4 17:20
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
由于看过上一版,刚才跑一次不到几分钟就就把你加密部分 NOP 了,脱出

建议下一版去偷 CALL ,把这些偷来的代码,加密,跑到一处解一处,不要在循环内解决
要把加密的方式多变,不然别人解决一个地方及 KO 了,还有,偷代码有一个要命的弱点
如果别人重定向了你申请的空间,把数据放到自己加的区段里,那这种方式就被 F 了
所以这些空间也要尽量分散
前面的路很远,楼主的态度很好,所以乱说一下
2009-9-4 17:57
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
yingyue  说的很对,我也想偷CALL,不过技术暂时不行,

我现在的想法是尽量将IAT做分散,造成修复的困难,但如果加密部门被KO了,这种方式就不好操作了,

所对,对于IAT加密部分,我准备再加多处的检验。

这壳是我写来玩的,尽量把我的想法实施一下

bpe32引擎很不错,乱序+不间断检测+反硬件,INT 3,内存断点应该是好想法
2009-9-4 19:50
0
雪    币: 265
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yvi
8
辛苦了,楼主
2009-9-5 21:41
0
雪    币: 400
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
呵呵 自己兄弟 顶一下~!
2009-9-5 22:09
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
大家感兴趣的话,贴一下脱壳方法,也可以互相学习一下
2009-9-6 14:46
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
11
此例, 到这里时 dump
00CD020D    03B3 AA060000   add     esi, [ebx+6AA] ; 此为 IID

设好PE文件头的一些值, 例如 :  OEP ' IID ' IIDSize ..

脱完了, 也没用到ImpRec.
所以连你在4楼写的一些anti'反..我全都没看到.
你加密全失效.
2009-9-6 16:18
0
雪    币: 356
活跃值: (38)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
12
因为看过上一版的壳所以有些经验。
LZ新增加的的两个CALL分析了一下,不知有什么用,第一个使用了SEH但没有实际动作,第二个很乱而且edx不值指向什么。望指点。
所以改了一下,CALL进去后直接RETN,然后把IAT加密的判断直接改成JMP。
到OEP处脱壳~~
上传的附件:
2009-9-6 17:03
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
sessiondiy太强悍了,上次看了你的VMP反反这初,小弟佩服得五体投地。

cradiator:实际增加的好像是4个CALL,其中一个是插入花指令,花写得稀烂。
SEH那个是有动作的,如果你在几个JNZ中下硬件断点的话,应该会中断不下来的,
第二个CALL我不知道你说是不是扫描CC那个。

希望能加你QQ,我QQ为41382440
2009-9-6 21:20
0
雪    币: 384
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
单步法很快就可以来到OEP主要还是IAT修复,几个jmp之后到达foep?最后一个retn到达OEP
2009-9-7 13:32
0
雪    币: 444
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
新手,最近也在写壳,如果3个月前看到你这个程序就好了,能节约不少时间。
这个壳的强度需要再应用几个技术才能达到04年一般的商业壳的普遍水准。
希望楼主继续努力。向着夕阳奔跑吧!

附个小建议:
猥琐点的GetProcAddress:    可以把IAT处理前的代码所需要用到这个函数的地方全部调用系统DLL的那个,不要用你自己的(但是检测系统GetProcAddress是否被下断也有要)。等到IAT处理的时候,使用自己的GetProcAddress函数。这样能抵挡脱壳新手一段分析的时间。
(你自己的GetProcAddress没有花指令,稍微加花比较好。想做的更好,那把自己实现的GetProcAddress函数写的无比复杂,代码N多,别人一看就不想跟,有一定经验的人判断你是自己实现GetProcAddress函数就不跟直接F8,但是你在里面偷偷的效验代码什么的,比较时间差什么的,尽量猥琐,那么会有一些人郁闷的F7去跟吧,不断打击脱壳者的信心和耐心,我们这样水平做到这点就够好了吧。)

PS:发现写壳有瓶颈,写着写着不满意,更猛的技术不钻研1个星期,理论上就拿不出方案来,
最近不听歌的话看见汇编代码就想发呆。
写个好一点的壳,真是耗时间耗精力的体力活。
2009-9-7 17:14
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
楼上说得对,路还很远的,

而且对于sessiondiy 的最佳脱壳点(我这样称呼)真是太猛了,不知道能不能延升到其他壳,

我感觉上似乎能行的,希望sessiondiy 能解答一下,是否所以的壳都会在内存中或以明码,或以加密方式出现完整的IAT一次。
2009-9-7 19:29
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
17
现在的壳已无:  "出现完整的IAT一次"
建议你研究一些商业壳 (不需自行从头追码, 但是你可配合网上大量的脱壳文章)
即知为何没有了.
2009-9-7 20:03
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
谢谢sessiondiy大大的指点,

我去找资料了,还得学习的东西还多
2009-9-7 20:42
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
做了点小更新,对最佳脱壳点还是没有好方法
2009-9-10 13:23
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
谢谢楼上的建议,已经采用的你的方法来做了,

不过最佳脱壳点的问题还是没找到好的方法解决
2009-9-18 19:51
0
雪    币: 384
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
楼主编写外壳的水平我何时才能达到呢?脱了一份,学习一下
上传的附件:
2009-9-20 14:03
0
雪    币: 314
活跃值: (271)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
22
专业不重要,我还是专门学这方面 的都没学好,用心就行
2009-9-20 14:06
0
雪    币: 147
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
23
有完整的分析了,http://user.qzone.qq.com/121786282/blog/1253519590
2009-9-21 22:21
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
不错的软件,值得收藏~~~
2009-9-22 14:22
0
游客
登录 | 注册 方可回帖
返回
//