- 博客(14)
- 收藏
- 关注
RSS订阅转载 VMP1.8的IAT分析,同时膜拜一下Nooby大牛
首先说一说VMP1.8,当然大家认为壳很老了,直接跑脚本就可以了,但本人并不是这麽认为,本人可能比较执拗的人,一定要知其然,知其所以然(所以学得慢吧,也许,呵呵。)看了kissy的壳世界,对VMP有一定的认识了,也在网上找了一些有关VMP1.8的文章来看了。搜到UPK,一阵暗喜,UPK有一些关於VMP的文章,可惜,我注册后过几天就关了,令人唏嘘不已。不说了,来正题,再者PYG论坛里好像没多
2015-08-24 08:53:57
2430
转载 ODbgscript 1.82.x Document
ODbgscript 1.82.x DocumentOllyScript脚本语言是一个种类汇编的语言。你使用它来控制ODbgScript和脚本运行. 在后面的文档中, “源操作数” 和 “目的操作数”表示以下含义:- 十六进制常数,既没有前缀也没有后缀。 (例如:是00FF, 而不是 0x00FF 和 00FFh的形式) 十进制常数,在后缀中加点. (例如:1
2015-08-13 13:11:05
822
转载 VMP 1.6-1.7脱壳记录(淘淘文件时间修改之星1.4,)
最近在看天草的VMP和他乡的VMP教程,感觉都是脚本党啊,看了只能明白一些东西,有很多很模糊的概念,他乡这个纯碎是只讲操作不讲原理,坑爹,幸好没买他的教程,不然亏死。因为想练习一下脱这壳,于是上菲凡下了这个东西练手:EP:007C3B5E > 68 394693A7 PUSH 0xA7934639007C3B63 E8 D3541900 CALL
2015-08-07 16:34:08
2192
1
转载 TestMessageBox 手动添加API
因为要手工导入API,因此先定位到IAT:IMPORT_DIRECTORYRVA:3778size:8c处在rdata(rva:3000,大小cf4),文件偏移(1600,大小e00)相对区段偏移:3778-3000=778,那么实际文件FOA:1600+778=1d78由于原来所在的IAT表不足以容纳新增的API,因此新增一个区段:(加一个导入函数即加一个import
2015-08-07 16:15:09
419
转载 Enigma Protector脱壳学习记录
Enigma Protector脱壳学习记录空间步聚:1:由于ENG这个壳是由一个DLL来实现加壳,因此F2断点很容易被检测,所以下二次断点,第一次下VirtualAlloc下断,断下后在401000处下硬件写入断点,断下,找到解码的地方,然后F2到这个写入函数的RETN处,执行,然后查DELPHI第一个CALL,发现有些CALL还没解码
2015-08-07 16:11:59
8313
转载 Obsidium 1.3重定位修复(不用补区段)
Obsidium 1.3重定位修复(不用补区段)最近在看OB的脱壳教程,(天草壳世界),还有ximo的OB教程,今天利用空余时间,终于把程序修复成功,记录如下:找到VirtualAlloc,VirutalProtect,利用这几个函数来找到重定位的地方,然后把重定位处理的代码用xor来代替.到伪OEP,然后把重定位的整
2015-08-07 16:11:03
1381
转载 OllyDbg命令行命令+汇编指令大全
OllyDbg命令行命令以下命令适用于 OllyDbg 的命令行插件 Cmdline.dll(显示于程序的插件菜单中)===============================================================命令行插件支持的命令CALC判断表达式WATCH添加监视表达式AT在指定地址进行反汇编FOLLOW跟随命令
2015-08-03 10:55:26
881
转载 exe重定位清除,主要让WIN7的动态基址不起作用
若EXE有重定位表,在属性里将重定位已分离勾上,同时将重定位表的数值清零,OK,WIN7再也不用将EXE动态基址了。爽.原文在看雪:标 题: 【原创】【脱壳修复】win7下简单处理重定位表作 者: xhbuming时 间: 2015-04-23,15:14:40链 接: http://bbs.pediy.com/showthread.php?t=199895操作
2015-07-29 15:31:03
5613
转载 CHMmaker算法分析
原程序是upx加壳,脱壳,发现是DELPHI,然後运行,发现有过期信息,然後在messagebox下断 返回,找到函数头,F2下断,把提示那个JB给JMP掉,就没过期提示了。由於时间没把注册机代码写出来,但是分析都差不多了:1,取硬件序列号,serial,长整型,算得机器码的流程:第一部份:取低16位,乘以3,加上0x260d,转成十进制字符第二部份:整个serial按十进制输出字
2015-06-10 16:57:21
418
转载 浪漫情书+部份分析
本文是爆破。aspack加的壳,脱壳,也是DELPHI所写,运行程序,有提示程序被病毒修改,即有自校验,於是下bp CreateFileA下断,逐步跟,发现後面调用GetFilesize取得文件大小,通过判断文件大小来比较,大於某个数值则认为文件被修改过。跳过这里即可。正常运行了。於是下个按钮断点:来到头部:00488F20 . 55 PUSH
2015-06-09 16:52:26
310
转载 SuperExplorer 1.54分析
upx加壳的,脱了,是DELPHI找到按钮事件,下断,关键CALL:00724178 |. B8 F4576D00 MOV EAX, unpacked.006D57F4 ; 赋EAX的值转成十进制输出就是注册码0072417D |. E8 0269CEFF CALL unpacked.0040AA84 ;
2015-06-09 14:17:58
273
原创 HexEdit 3.0爆破+部份分析
HexEdit ,这个是旧版的软件,初次运行能在菜单找到一些加密算法了,可能作者的加密知识比较多啦。一开始跟了下,想看看算法,可惜功力不够,CALL有点多,也不知道加密算法,只好爆它吧。输入注册码,字符串定位到提示,然後找到函数头部,来到这里:004D69F0 . 6A FF PUSH -0x1
2015-06-08 14:26:31
1591
原创 EasyMoney算法分析(仅作为分析记录)
关键CALL如下:00597279 |. 8955 FC mov dword ptr [ebp-0x4], edx ; 用户名0059727C |. 8B45 FC mov eax, dword ptr [ebp-0x4]0059727F |. E8 1CDDE6FF call 00404FA00059
2015-06-06 10:00:05
419
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人