摘要:
1、ESP 定律 1.1、第10讲 压栈 --> 数据窗口跟随ESP的值,设置 硬件(软件)访问(写入)断点 --> (shift+)F9 2、内存镜像 2.1、第10讲 OD“内存映射”界面,第1个".rsrc"节设置 F2断点 --> Shift+F9 --> “内存映射”界面 00401000 阅读全文
摘要:
【】 【】 Z 阅读全文
摘要:
【02:28】ZC: 堆栈最顶端,kernel32.7C817077 上面设置断点 硬件写入 字节 【12:12】最主要让大家掌握:通过 内存保护断点VirtualProtect 到达正确的OEP的时机,找到正确的OEP,然后在空代码处 修复OEP,从而 脱掉VMP1.8x的壳 Z 阅读全文
摘要:
01、VMProtect 脱壳理论与逆向分析02、VMProtect 1.6x版 完美脱壳03、VMProtect 1.704(VB) 脱壳实战04、VMProtect 1.6x~1.8 脱壳分析05、自创法脱 VMProtect 1.6~1.7.0406、VMProtect 1.8x 脱壳实战07 阅读全文
摘要:
ZC: 好几处 没看懂... 需要回看 【00:40】PEiD查壳,节"ppptr0"/节"ppptr1"/节"ppptr2",这个壳 明显就是VMP的。应该是个BC++的程序 【01:15】die 0.64,显示 是BC++ 【01:28】OD加载 【01:35】直接使用 ESP定律,断点 硬件访 阅读全文
摘要:
ZC: 本讲中,OD中异常的设置 是什么样的?默认的全部忽略? 【00:38】PEiD显示:节 vmp0/vmp1/vmp2 证明 这个壳的版本还比较高,有3个VMP段,保护比较强烈 【01:28】die_0[1].64.rar 【01:38】软件标题:“Detect it Easy 0.64” 【 阅读全文
摘要:
1、第4课 【00:22】PEiD v0.95 【01:38】“die_0[1].64.rar” ==> 软件标题:“Detect it Easy 0.64” ZC: 应该主要看的是 "Compler" 和 "LinkerInfo" 的信息 2、 3、 4、 5、 阅读全文
摘要:
【00:10】网址“www.jxsrjy.com”貌似打不开了... QQ号:751350937 【01:05】首先我们要判断出,它是 VMP壳。 工具: “FastScanner 3” ==> 它只认识 VMP v1.704 【01:33】exeinfope (ZC: 视频里面这个工具没有显示出来 阅读全文
摘要:
1、别人整理的资料 http://bbs.fishc.com/thread-63173-1-1.html 2、 [LCG新年礼物之一]Decode AutoIt3 http://www.52pojie.cn/thread-129042-1-1.html http://www.52pojie.cn/f 阅读全文