摘要: 第十四课穿山甲壳的单进程标准脱法一今天开始进入我们加密壳脱壳环节。一,关于Armadillo壳:Armadillo也称穿山甲,是一款应用面较广的壳。可以运用各种手段来保护你的软件,同时也可以为软件加上种种限制,包括时间、次数,启动画面等等!很多商用软件采用其加壳。Armadillo对外发行时有Public,Custom两个版本。Public是公开演示的版本,Custom是注册用户拿到的版本。只有Custom才有完整的功能,Public版有功能限制,没什么强度,不建议采用。二,Armadillo分类:穿山甲这个壳变化非常多,各种不同的分法都可以分出不同类型的壳。线程个分:可以分为单线程双线程(即 阅读全文
posted @ 2012-08-28 21:56 eldn 阅读(597) 评论(0) 推荐(0) 编辑
摘要: 第十二课欺骗PEID加OD载入时的提示今天要讲的内容非常有意思,对喜欢免杀的朋友是一个新的思路,当然对自己编写程序防止别人调试也是一个不错的方法。今天要讲的就是欺骗PEID和OD载入时提示:错误的或者未知格式的32位可执行文件。(冒失只能欺骗低版本的OD,使用性真心不大了!)一:欺骗PEID(显示为无效的PE文件)①欺骗打开LorderPE-->PE编辑工具-->打开文件-->区段-->.text-->右键--->编辑区段-->把物理偏移由0000044改为00000444,把物理大小由0000000改为:444444444-->保存--> 阅读全文
posted @ 2012-08-28 21:55 eldn 阅读(419) 评论(0) 推荐(0) 编辑
摘要: 第十三课区段优化减肥脱了穿山甲的壳以后,脱壳后文件就会比原先的加壳前文件大出很多倍。这样我们就需要给区段优化减肥,对于的垃圾区段去除掉,使体积变小。LorderPE中区段列表说明:Voffset虚拟地址Roffset物理偏移Vsize虚拟大小Rsize物理大小①查找无用区段载入OD查看内存,在宿主程序所在的区段上顺序F2下端然后F9运行,看程序是否跑飞,跑飞则为无用区段(输入表段除外,imports),记录下。②删除无用的区段用LorderPE载入然后清除上面我们记录的无用区段即可。③根据规律,来修改物理偏移和虚拟大小规律:第一个区段虚拟地址+虚拟大小取千位整=第二个虚拟地址第一个区段物理偏移 阅读全文
posted @ 2012-08-28 21:55 eldn 阅读(206) 评论(0) 推荐(0) 编辑
摘要: 第十课 附加数据的处理 来到打开看雪http://www.pediy.com/bbshtml/BBS6/pediy6923.htm地址的文章就是关于浅谈附加数据的问题的,大家有兴趣的可以去看一下。 附加数据处理 这里我们简单的说下什么是附加数据,附加数据就是一段程序,程序要正常运行就需要有这段程序那么这段程序就叫做附加数据了,当然有些程序没有附加数据也可以正常运行,所以附加数据左右程序的运行是选择性的,并不绝对。 形象得了解下什么是附加数据,就好比,TXT文本文件,如果没有系统的记事本notepad.exe是打不开的一样。那么notepad.exe就是TXT的附加数据了。 在我们脱壳中有带附. 阅读全文
posted @ 2012-08-28 21:54 eldn 阅读(331) 评论(0) 推荐(0) 编辑
摘要: 第十一课 去除自校验 这课我们要讲的是自校验的问题,程序自校验是在修复中比较复杂麻烦的,我们先从简单的入手 今天我们就掌握一下怎么去除自校验,软件是一个网吧注册工具,看了下只要修改一处自校验就可以让程序正常运行,所以拿出来做实例,有些厉害的自校验强度又大而且有多重不同自校验,以前有个一个crackme,居然有10处自校验,够变态的。一: 实例问题解决之去除自校验(文件大小自校验)(实现未实现的跳)看操作吧。当然进行下面的而操作前提是你的先脱壳并修复,运行后没反应。1. 对比法。 ①:源程序和脱后的进行跟踪比较,找到不同的条件跳。原程序调试到OEP,和脱壳后的程序载入OD,然后慢慢向下跟踪调试. 阅读全文
posted @ 2012-08-28 21:54 eldn 阅读(458) 评论(0) 推荐(0) 编辑
摘要: 定位IAT一:半手动定位RVA1,OD载入程序并走到OEP。2,用OD脱壳(method 1)或用LordPe脱壳。3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话看其他的地址就知道了,一般就是100000)跟随。5,上下查看有函数的起始和终止地址,记录下起始地址,和大小(终止地址-起始地址)。6,回到Import reconstructor 输入OEP,RVA,大小-->获取输入表--显示无效函数-->追踪级别1(fsg2.0不用追 阅读全文
posted @ 2012-08-28 21:53 eldn 阅读(391) 评论(0) 推荐(0) 编辑
摘要: 第九课 telock修复与跳过IAT加密在压缩壳实例演示中除了FSG2.0,还有一个TELOCK0.98的,那TELOCK属于加密壳了,当然是非常简单的加密壳了,今天我们就看看这个壳在修复方面会遇到什么问题。TELOCK脱壳用最后一次异常法。一: 修复过程中卡机问题 TELOCK不用获取RAV,也没必要。获取输入表后发现有大量无效函数,有无效函数当然就要追踪了。先用追踪级别一,发现不起作用。那就追踪级别三上了,一般追踪级别二就不用。不恩能够一下子全选就追踪,这样直接卡死。三四个一次就好吧,是个耐心活儿啊。注意,追踪的过程中会发现有些是无法追踪成功的。那么在最后剪切指针就OK了。 Btw:如果. 阅读全文
posted @ 2012-08-28 21:53 eldn 阅读(378) 评论(0) 推荐(0) 编辑
摘要: 第七课 两款压缩壳的深度学习 今天要讲的是FSG,今天是压缩壳最后一课了,讲完FSG会把脱压缩壳的内容回顾总结一下,所以今天会比较轻松一点点,大家在回顾总结的时候认真记下特点就可以了。一: 实例之FSG【1】 单步跟踪法 1.用OD载入,如果有提示是否分析代码,就点“ 不分析代码!” 2.F8单步向下跟踪调试,没有实现的向上的跳,向下的跳都可以步过,阻止实现的向上的跳。 3.遇到会跑飞的CALL我们就F7步入。Btw:FSG1.33以一个JE跳转到OEP的,如果继续向下调试就调试不下去的,所以在JE这个条件跳转,这我们就要跟随,然后F2下断,F9运行,F2取消断点。还有两种方法:1:把je改. 阅读全文
posted @ 2012-08-28 21:52 eldn 阅读(267) 评论(0) 推荐(0) 编辑
摘要: 第六课 实战petite.98及pecompact 今天我们要讲的是PECompact和Petite。 压缩壳讲到第三课了,大家应该对脱压缩壳方法应该有一定了解了,还是那句老话,压缩壳永远是压缩壳,不需要怕它。那接下来我们就脱PECompact和Petite。一: 实例之PECompact壳【1】 单步跟踪法 1.用OD载入,如果有提示是否分析代码,就点“ 不分析代码!” 2.F8单步向下跟踪调试,没有实现的向上的跳,向下的跳都可以步过,阻止实现的向上的跳。3.遇到会跑飞的CALL(近CALL1000H左右)我们就F7步入。(当然我们也可以在跟踪的时候不可以去判断,只有当发生了卡死现象时我们. 阅读全文
posted @ 2012-08-28 21:52 eldn 阅读(270) 评论(0) 推荐(0) 编辑
摘要: 第五课 实战北斗及UPACK 今天要讲两个压缩壳,一个是upack,一个是NSpack(这即是北斗壳了。) 这两个壳在木马程序加压缩壳的时候非常常见。还是那句老话,压缩壳永远是压缩壳,所以大家不需要害怕。下面直接看操作吧。一: 实例之Upack壳 1.用OD载入,如果有提示是否分析代码,就点“ 不分析代码!” 2.F8单步向下跟踪调试,没有实现的向上的跳,向下的跳都可以步过,阻止实现的向上的跳。3.遇到会跑飞的CALL我们就F7步入。(也即是近call:1,离程序入口点近的call;2,跳转的距离短的call)Btw:遇到程序无法向下跟踪调试的时候,在附近(上下均可)找一个(向下的)大跳转(. 阅读全文
posted @ 2012-08-28 21:51 eldn 阅读(194) 评论(0) 推荐(0) 编辑