能力值:
( LV2,RANK:10 )
|
-
-
2 楼
下来看看,楼主加油,我的专业更偏门了
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
好像和上次的差不多,修复IAT
最近也在写壳,敢问楼主,这样的加密方式只能手动修复吗
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
我不知道是不是只能手动修复,你试过自动方式行不行嘛?
希望能在QQ上加你
和上次有点差别的,因为你是手动修复,肯定是到OEP,然后DUMP,手动修复API,所以感觉没什么差别,
如果是40个API以上的话,呵呵,你就会发现有区别了,
在IAT加密的地方,使用了加花和反 INT 3断点,
反硬件和反内存断点,暂时还没找到方法
|
能力值:
( LV3,RANK:20 )
|
-
-
5 楼
iat好像很分散啊..
|
能力值:
( LV3,RANK:30 )
|
-
-
6 楼
由于看过上一版,刚才跑一次不到几分钟就就把你加密部分 NOP 了,脱出
建议下一版去偷 CALL ,把这些偷来的代码,加密,跑到一处解一处,不要在循环内解决
要把加密的方式多变,不然别人解决一个地方及 KO 了,还有,偷代码有一个要命的弱点
如果别人重定向了你申请的空间,把数据放到自己加的区段里,那这种方式就被 F 了
所以这些空间也要尽量分散
前面的路很远,楼主的态度很好,所以乱说一下
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
yingyue 说的很对,我也想偷CALL,不过技术暂时不行,
我现在的想法是尽量将IAT做分散,造成修复的困难,但如果加密部门被KO了,这种方式就不好操作了,
所对,对于IAT加密部分,我准备再加多处的检验。
这壳是我写来玩的,尽量把我的想法实施一下
bpe32引擎很不错,乱序+不间断检测+反硬件,INT 3,内存断点应该是好想法
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
辛苦了,楼主
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
呵呵 自己兄弟 顶一下~!
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
大家感兴趣的话,贴一下脱壳方法,也可以互相学习一下
|
能力值:
( LV9,RANK:180 )
|
-
-
11 楼
此例, 到这里时 dump
00CD020D 03B3 AA060000 add esi, [ebx+6AA] ; 此为 IID
设好PE文件头的一些值, 例如 : OEP ' IID ' IIDSize ..
脱完了, 也没用到ImpRec.
所以连你在4楼写的一些anti'反..我全都没看到.
你加密全失效.
|
能力值:
( LV9,RANK:220 )
|
-
-
12 楼
因为看过上一版的壳所以有些经验。
LZ新增加的的两个CALL分析了一下,不知有什么用,第一个使用了SEH但没有实际动作,第二个很乱而且edx不值指向什么。望指点。
所以改了一下,CALL进去后直接RETN,然后把IAT加密的判断直接改成JMP。
到OEP处脱壳~~
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
sessiondiy太强悍了,上次看了你的VMP反反这初,小弟佩服得五体投地。
cradiator:实际增加的好像是4个CALL,其中一个是插入花指令,花写得稀烂。
SEH那个是有动作的,如果你在几个JNZ中下硬件断点的话,应该会中断不下来的,
第二个CALL我不知道你说是不是扫描CC那个。
希望能加你QQ,我QQ为41382440
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
单步法很快就可以来到OEP主要还是IAT修复,几个jmp之后到达foep?最后一个retn到达OEP
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
新手,最近也在写壳,如果3个月前看到你这个程序就好了,能节约不少时间。
这个壳的强度需要再应用几个技术才能达到04年一般的商业壳的普遍水准。
希望楼主继续努力。向着夕阳奔跑吧!
附个小建议:
猥琐点的GetProcAddress: 可以把IAT处理前的代码所需要用到这个函数的地方全部调用系统DLL的那个,不要用你自己的(但是检测系统GetProcAddress是否被下断也有要)。等到IAT处理的时候,使用自己的GetProcAddress函数。这样能抵挡脱壳新手一段分析的时间。
(你自己的GetProcAddress没有花指令,稍微加花比较好。想做的更好,那把自己实现的GetProcAddress函数写的无比复杂,代码N多,别人一看就不想跟,有一定经验的人判断你是自己实现GetProcAddress函数就不跟直接F8,但是你在里面偷偷的效验代码什么的,比较时间差什么的,尽量猥琐,那么会有一些人郁闷的F7去跟吧,不断打击脱壳者的信心和耐心,我们这样水平做到这点就够好了吧。)
PS:发现写壳有瓶颈,写着写着不满意,更猛的技术不钻研1个星期,理论上就拿不出方案来,
最近不听歌的话看见汇编代码就想发呆。
写个好一点的壳,真是耗时间耗精力的体力活。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
楼上说得对,路还很远的,
而且对于sessiondiy 的最佳脱壳点(我这样称呼)真是太猛了,不知道能不能延升到其他壳,
我感觉上似乎能行的,希望sessiondiy 能解答一下,是否所以的壳都会在内存中或以明码,或以加密方式出现完整的IAT一次。
|
能力值:
( LV9,RANK:180 )
|
-
-
17 楼
现在的壳已无: "出现完整的IAT一次"
建议你研究一些商业壳 (不需自行从头追码, 但是你可配合网上大量的脱壳文章)
即知为何没有了.
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
谢谢sessiondiy大大的指点,
我去找资料了,还得学习的东西还多
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
做了点小更新,对最佳脱壳点还是没有好方法
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
谢谢楼上的建议,已经采用的你的方法来做了,
不过最佳脱壳点的问题还是没找到好的方法解决
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
楼主编写外壳的水平我何时才能达到呢?脱了一份,学习一下
|
能力值:
( LV4,RANK:50 )
|
-
-
22 楼
专业不重要,我还是专门学这方面 的都没学好,用心就行
|
能力值:
( LV3,RANK:20 )
|
-
-
23 楼
有完整的分析了,http://user.qzone.qq.com/121786282/blog/1253519590
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
不错的软件,值得收藏~~~
|
|
|