摘要:
第十四课穿山甲壳的单进程标准脱法一今天开始进入我们加密壳脱壳环节。一,关于Armadillo壳:Armadillo也称穿山甲,是一款应用面较广的壳。可以运用各种手段来保护你的软件,同时也可以为软件加上种种限制,包括时间、次数,启动画面等等!很多商用软件采用其加壳。Armadillo对外发行时有Public,Custom两个版本。Public是公开演示的版本,Custom是注册用户拿到的版本。只有Custom才有完整的功能,Public版有功能限制,没什么强度,不建议采用。二,Armadillo分类:穿山甲这个壳变化非常多,各种不同的分法都可以分出不同类型的壳。线程个分:可以分为单线程双线程(即 阅读全文
摘要:
第十三课区段优化减肥脱了穿山甲的壳以后,脱壳后文件就会比原先的加壳前文件大出很多倍。这样我们就需要给区段优化减肥,对于的垃圾区段去除掉,使体积变小。LorderPE中区段列表说明:Voffset虚拟地址Roffset物理偏移Vsize虚拟大小Rsize物理大小①查找无用区段载入OD查看内存,在宿主程序所在的区段上顺序F2下端然后F9运行,看程序是否跑飞,跑飞则为无用区段(输入表段除外,imports),记录下。②删除无用的区段用LorderPE载入然后清除上面我们记录的无用区段即可。③根据规律,来修改物理偏移和虚拟大小规律:第一个区段虚拟地址+虚拟大小取千位整=第二个虚拟地址第一个区段物理偏移 阅读全文
摘要:
第十二课欺骗PEID加OD载入时的提示今天要讲的内容非常有意思,对喜欢免杀的朋友是一个新的思路,当然对自己编写程序防止别人调试也是一个不错的方法。今天要讲的就是欺骗PEID和OD载入时提示:错误的或者未知格式的32位可执行文件。(冒失只能欺骗低版本的OD,使用性真心不大了!)一:欺骗PEID(显示为无效的PE文件)①欺骗打开LorderPE-->PE编辑工具-->打开文件-->区段-->.text-->右键--->编辑区段-->把物理偏移由0000044改为00000444,把物理大小由0000000改为:444444444-->保存--> 阅读全文
摘要:
第十一课 去除自校验 这课我们要讲的是自校验的问题,程序自校验是在修复中比较复杂麻烦的,我们先从简单的入手 今天我们就掌握一下怎么去除自校验,软件是一个网吧注册工具,看了下只要修改一处自校验就可以让程序正常运行,所以拿出来做实例,有些厉害的自校验强度又大而且有多重不同自校验,以前有个一个crackme,居然有10处自校验,够变态的。一: 实例问题解决之去除自校验(文件大小自校验)(实现未实现的跳)看操作吧。当然进行下面的而操作前提是你的先脱壳并修复,运行后没反应。1. 对比法。 ①:源程序和脱后的进行跟踪比较,找到不同的条件跳。原程序调试到OEP,和脱壳后的程序载入OD,然后慢慢向下跟踪调试. 阅读全文
摘要:
第十课 附加数据的处理 来到打开看雪http://www.pediy.com/bbshtml/BBS6/pediy6923.htm地址的文章就是关于浅谈附加数据的问题的,大家有兴趣的可以去看一下。 附加数据处理 这里我们简单的说下什么是附加数据,附加数据就是一段程序,程序要正常运行就需要有这段程序那么这段程序就叫做附加数据了,当然有些程序没有附加数据也可以正常运行,所以附加数据左右程序的运行是选择性的,并不绝对。 形象得了解下什么是附加数据,就好比,TXT文本文件,如果没有系统的记事本notepad.exe是打不开的一样。那么notepad.exe就是TXT的附加数据了。 在我们脱壳中有带附. 阅读全文
摘要:
第九课 telock修复与跳过IAT加密在压缩壳实例演示中除了FSG2.0,还有一个TELOCK0.98的,那TELOCK属于加密壳了,当然是非常简单的加密壳了,今天我们就看看这个壳在修复方面会遇到什么问题。TELOCK脱壳用最后一次异常法。一: 修复过程中卡机问题 TELOCK不用获取RAV,也没必要。获取输入表后发现有大量无效函数,有无效函数当然就要追踪了。先用追踪级别一,发现不起作用。那就追踪级别三上了,一般追踪级别二就不用。不恩能够一下子全选就追踪,这样直接卡死。三四个一次就好吧,是个耐心活儿啊。注意,追踪的过程中会发现有些是无法追踪成功的。那么在最后剪切指针就OK了。 Btw:如果. 阅读全文
摘要:
定位IAT一:半手动定位RVA1,OD载入程序并走到OEP。2,用OD脱壳(method 1)或用LordPe脱壳。3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话看其他的地址就知道了,一般就是100000)跟随。5,上下查看有函数的起始和终止地址,记录下起始地址,和大小(终止地址-起始地址)。6,回到Import reconstructor 输入OEP,RVA,大小-->获取输入表--显示无效函数-->追踪级别1(fsg2.0不用追 阅读全文
摘要:
第七课 两款压缩壳的深度学习 今天要讲的是FSG,今天是压缩壳最后一课了,讲完FSG会把脱压缩壳的内容回顾总结一下,所以今天会比较轻松一点点,大家在回顾总结的时候认真记下特点就可以了。一: 实例之FSG【1】 单步跟踪法 1.用OD载入,如果有提示是否分析代码,就点“ 不分析代码!” 2.F8单步向下跟踪调试,没有实现的向上的跳,向下的跳都可以步过,阻止实现的向上的跳。 3.遇到会跑飞的CALL我们就F7步入。Btw:FSG1.33以一个JE跳转到OEP的,如果继续向下调试就调试不下去的,所以在JE这个条件跳转,这我们就要跟随,然后F2下断,F9运行,F2取消断点。还有两种方法:1:把je改. 阅读全文
摘要:
第六课 实战petite.98及pecompact 今天我们要讲的是PECompact和Petite。 压缩壳讲到第三课了,大家应该对脱压缩壳方法应该有一定了解了,还是那句老话,压缩壳永远是压缩壳,不需要怕它。那接下来我们就脱PECompact和Petite。一: 实例之PECompact壳【1】 单步跟踪法 1.用OD载入,如果有提示是否分析代码,就点“ 不分析代码!” 2.F8单步向下跟踪调试,没有实现的向上的跳,向下的跳都可以步过,阻止实现的向上的跳。3.遇到会跑飞的CALL(近CALL1000H左右)我们就F7步入。(当然我们也可以在跟踪的时候不可以去判断,只有当发生了卡死现象时我们. 阅读全文
摘要:
第五课 实战北斗及UPACK 今天要讲两个压缩壳,一个是upack,一个是NSpack(这即是北斗壳了。) 这两个壳在木马程序加压缩壳的时候非常常见。还是那句老话,压缩壳永远是压缩壳,所以大家不需要害怕。下面直接看操作吧。一: 实例之Upack壳 1.用OD载入,如果有提示是否分析代码,就点“ 不分析代码!” 2.F8单步向下跟踪调试,没有实现的向上的跳,向下的跳都可以步过,阻止实现的向上的跳。3.遇到会跑飞的CALL我们就F7步入。(也即是近call:1,离程序入口点近的call;2,跳转的距离短的call)Btw:遇到程序无法向下跟踪调试的时候,在附近(上下均可)找一个(向下的)大跳转(. 阅读全文
摘要:
第四课 脱壳必备知识要点及方法 今天所要讲的是这高级篇中最为关键,最为重要的一课,希望大家能认真学习,反复推敲,举一反三学习脱壳的各种方法,当然有的时候可能需要几种方法一起使用,今后我们也会一点一点接触到,今天我们先学习大体的几种脱壳法。一:常见脱壳调试法二:预备知识 OEP是Original Entry Point缩写,即程序加壳前的真正的入口点。 外壳初始化的现场环境(各寄存器值)与原程序的现场环境是相同的。加壳程序初始化时保存各寄存器的值,外壳执行完毕,会恢复各寄存器内容。其代码形式一般如下: PUSHFD ; 将标志寄存器入栈保存 PUSHAD ; push eax, ecx, ed. 阅读全文
摘要:
用OD脱壳的基本方法概论壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种。 压缩壳:顾名思义,压缩壳只是为了减小程序体积对资源进行压缩。压缩壳怎么变形它还是压缩壳,压缩壳的脱壳方法一般都不难,压缩壳一般单步跟踪都可以跟出OEP的,当然EXE文件加壳和DLL文件加壳以后脱壳是不同的学习要循序渐进,所以DLL脱壳现在先不讲,(DLL脱壳的重点是重定位)。如:UPX ASPCAK TELOCK PELITE NSPACK ...加密壳:加密壳是程序输入表等等进行加密保护。当然加密壳的保护能力要强得多! 如:ARMADILLO ASPROTECT ACPROTECT ... 阅读全文
摘要:
第二课 破解工具的介绍及使用方法1. 介绍脱壳的基本过程 脱壳的基本流程: 侦壳——→OD载入程序——→寻找OEP——→脱壳(DUMP)——→修复 下面介绍下这些步骤常用的工具: 侦壳:PEID FI 调试程序寻找OEP:OD 脱壳:LordPE OD自带脱壳插件 修复:Import REConstructor2. 认识下常用工具3. 认识侦壳工具 FileInfo(FI)--功能强大的侦壳工具,DOS界面。使用方法:可以拖放、可以使用DOS命令行 PEID--功能强大的侦壳工具,自带脱壳插件(但是,效果不怎么样)建议不要使用。4. 认识OD OD窗口分为:反汇编窗口,寄存器窗口,数据窗口,. 阅读全文
摘要:
第二课 破解工具的介绍及使用方法1. 介绍脱壳的基本过程 脱壳的基本流程: 侦壳——→OD载入程序——→寻找OEP——→脱壳(DUMP)——→修复 下面介绍下这些步骤常用的工具: 侦壳:PEID FI 调试程序寻找OEP:OD 脱壳:LordPE OD自带脱壳插件 修复:Import REConstructor 简单得进行一次操作,让大家有个感性的认知。2. 认识下常用工具3. 认识侦壳工具 FileInfo(FI)--功能强大的侦壳工具,DOS界面。使用方法:可以拖放、可以使用DOS命令行 PEID--功能强大的侦壳工具,自带脱壳插件(但是,效果不怎么样)建议不要使用。4. 认识OD OD. 阅读全文
摘要:
第一课 破解必备的知识要点摘自章鱼宝脱壳教程文本(有改动) 1 基础要点 破解大体分为暴力破解(爆破),制作内存补丁,制作内存注册机,追踪算法编写注册机。 壳:常听人说什么加壳,脱壳,壳到底是什么??形象得理解,乌龟有壳,蜗牛有壳,壳最大的功能就是起到保护作用,同样的,程序的壳也是起到保护作用的,它把程序包裹起来,首先由壳获得控制权,然后释放并运行包裹着的程序。 破解和壳什么关系: 加解密发展至今已经分为两派,一派是传统的程序算法,另一派是利用加密壳加密,现在越来越多的软件加壳了(有些为了减小体积加压缩壳,有些为了防止解密加了密码壳),因此要求解密者必须掌握一些脱壳技术,这就使得壳成了解密必须 阅读全文
摘要:
第一课 破解必备的知识要点摘自章鱼宝脱壳教程文本(有改动) 1 基础要点 破解大体分为暴力破解(爆破),制作内存补丁,制作内存注册机,追踪算法编写注册机。 壳:常听人说什么加壳,脱壳,壳到底是什么??形象得理解,乌龟有壳,蜗牛有壳,壳最大的功能就是起到保护作用,同样的,程序的壳也是起到保护作用的,它把程序包裹起来,首先由壳获得控制权,然后释放并运行包裹着的程序。 破解和壳什么关系: 加解密发展至今已经分为两派,一派是传统的程序算法,另一派是利用加密壳加密,现在越来越多的软件加壳了(有些为了减小体积加压缩壳,有些为了防止解密加了密码壳),因此要求解密者必须掌握一些脱壳技术,这就使得壳成了解密.. 阅读全文