脱壳,加密,解密

最新推荐文章于 2022-05-25 02:10:04 发布
最新推荐文章于 2022-05-25 02:10:04 发布
阅读量3k 收藏
点赞数
文章标签: 加密 reference 工具 hook 算法 compression

PE辅助工具

程序名称 作者 说明
PETool v0.45 beta  MackT PE文件信息查看编辑工具,VC源码。
PE Labs 1.0 Latigo PE文件信息查看工具,Win32ASM源码。
moveres Spring.W 移动资源。
http://bbs.pediy.com/showthread.php?s=&threadid=18205 
expxv.5. ttui 编辑dll导出函数的工具
http://bbs.pediy.com/showthread.php?s=&threadid=13181 
pearmorangela kimmal 修复PE-Armor 0.7x重定位表的工具 

 

加壳软件

程序名称 作者 说明
stnpepak Stone 实现了对Import Table的处理,Win32ASM源码。
yoda's Crypter 1.2 yoda PE加密保护,Win32ASM源码。
Yoda's Protector 1.00
Yoda's Protector 1.01
Yoda's Protector 1.02 yoda VC
PeX v0.99   PE压缩,Win32ASM源码。
Morphine v2.7
Morphine v3.5    
bambam 004    C/C++源码,对TLS处理较好,另外,外壳引导部分不是用asm实现的,直接用C。
csdsjkk's pack    http://bbs.pediy.com/showthread.php?s=&threadid=22270
themida 1.0.0.8驱动逆向   SyserDebug逆向的themida 1.0.0.8 驱动程序


脱壳软件

程序名称 源码 作者 说明
AspackDie 1.3d 程序及源码 yoda 支持Aspack 2.11/2.11c/2.11d/2.12.
ASPack unpacker v1.0  程序及源码 bane  aspack 1.02b, 1.07b, 1.08.00/1/2/3. 
DeArmor 程序及源码 Forgot Hying's PE-Armor v0.46x
Obsidium Explorer V1.2 beta 程序及源码 VAG and ^DAEMON^ Obsidium V1.2 beta 
PeUNlock v1.0x 程序及源码 ^DAEMON^ pelock v1.00 ~pelock v1.02 
SVKP explorer V0.2e 程序及源码 ^DAEMON^ SVKP 
冲击波2000 源码 D.boy 感谢D.boy无私奉献源码!极酷的查找OEP工具。
ArmInline v0.96f      Armadillo v3.5-4.4脱壳机


反汇编相关

程序名称 源码 作者 说明
disasm     OD官方提供的一个反汇编源码
Borg 2.27  源码   http://www.caesum.com/
pvdasm 1.6c  源码   http://pvdasm.reverse-engineering.net/

 


 

压缩引擎

程序名称  作者 说明
aPLib v0.12b
aPLib v0.17b
aPlib v0.18
aPLib v0.19b
aPLib v0.20b
aPLib v0.22b
aPLib v0.26b
aPLib v0.36
aPLib v0.42
aPLib v0.43  Ibsen Software 32-bit compression library
支持BCB, Delphi, DJGPP, DOS32, GCC, GNAT, MASM32, MinGW, Pelles C, TASM, TMT, VC, VPascal, Watcom)以及(DOS/Windows, BeOS, FreeBSD, Linux, OS/2, QNX).
 
JCALG1 R5.34     相对于aPlib,JCALG1对于大文件效果好些。
LZMA SDK 4.06
LZMA 4.12
LZMA 4.32
LZMA 4.39 beta    http://www.7-zip.org/zh-cn/sdk.html
LZMA 是 7-Zip 程序中 7z 格式 的默认压缩算法。LZMA 能提供给用户极高的压缩比及较快的压缩速度,它非常适合与应用程序集成。 拥有不错的压缩比。


 

补丁工具

程序名称 源码 作者 说明
Cogen II  程序及源码 EGOiSTE 文件补丁制作工具,Win32ASM源码。
ASProtect Patcher 程序及源码 +DzA kRAker 内存补丁load制作实例,Win32ASM源码。

 


 


 

调试相关

程序名称 源码 作者 说明
SuperBPM  源码 EliCZ 脱壳辅助,控制调试寄存器(DR0、DR1...),Win32ASM源码。


 

插件开发

OllyDBG的插件源码
Plug110.zip    OllyDBG官方提供的插件编译样例(带插件开发帮助文档)
CleanupEx v1.12.108     
TracKid prince 简单编写OD插件的教学
http://bbs.pediy.com/showthread.php?s=&threadid=11621 
DeJunk 1.2  hoto 花指令去除器的源码,直接修改了Ollydbg的一个插件的例子
DebugPrivilege simonzh2000 插件参考了 IsDebugPresent 的 ASM 代码, 用C 实现, 有三个命令.
. 手动 Disable 子进程 DebugPrivlege
2. 手动 Enable 子进程 DebugPrivlege
3. 程序加载和 Restart 时可选择自动 Disable DebugPrivlege

http://bbs.pediy.com/showthread.php?s=&threadid=18742 
HideCaption v1.00   hides MDI windows caption to get more space
hidedbg 0.1 loveboom 可以隐藏如下Anti-Debug:
IsDebuggerpresent、UnhandledExceptionFilter、ZwQueryInformationProcess、OutDebugStringA、GetProcessHeap、ZwSetInformationThread、NTGlobalFlag、CheckRemoteDebuggerPresent
2005/11/23 
OllyScript v0.92
ODbgScript v1.51    OD脚本插件
作者放出0.92版本的源码,其他人更新的版本在这下载:
http://e3.epsylon.org/olly/ 
OllyMachine 0.20 老罗 OllyMachine是调试器OllyDbg的一个插件。可以通过使用一套汇编语言——OllyMachine Script来编写脚本,并编译成字节码提交给OllyMachine虚拟机执行,以达到操纵OllyDbg的目的。 和OllyScript v0.92相比各有特色。
2004-12-07 
OllyDump v3.00.110   Dump取内存映像
Ollydbg Anti Anti Hardware Breakpoint   相关文档 
     
Ultra String Reference 0.1 老罗 Ultra String Reference 是一个 OllyDbg 的插件(Plugin),OllyDbg的串式参考(String Reference)对中文的支持比较差,有感于此,我写了这个插件,支持对 GB2312 中文的串式参考,希望可以改善这种状况。
WatchMan v1.00
    
Command Bar v3.10.109c
   命令行插件
IDA的插件源码
IDA Pro 4.8.0.847边界线
IDA Pro 4.90边界线插件   IDA 边界线插件,下载包里包括源码
IDA 4.8 http://bbs.pediy.com/showthread.php?s=&threadid=14384
IDA 4.9 http://bbs.pediy.com/showthread.php?s=&threadid=17873 
SoftICE插件源码
Softice Pluin Example for FASM !   如何编写Softice插件示例


 

监视软件

程序名称 源码 作者 说明
Registry Monitor  源码   Regmon for Windows NT/9x
SoftSnoop 1.3  源码 yoda 监视程序调用的APi函数,附:SoftSnoop.lib,可能开发插件
 

 


内存操作

程序名称 源码 作者 说明
Process Studio  程序及源码   查看内存进程,Win32ASM源码。

 

加密算法

程序名称 作者 说明
MD5源码
样例程序
 这是一个好用的MD5的C++类;这个类可以加在控制台
程序中也可用在MFC中, 并且提供了详细的错误处理
函数,是一个安全的类。例程是一个MD5的MFC程序,
支持字符串和文件两种输入。
Blowfish 算法工具 DarkBull Blowfish加密和解密的小工具
http://bbs.pediy.com/showthread.php?s=&threadid=19382
blowfish asm源码     
RC2 asm源码
RC4 asm源码
RC5 asm源码
RC6 asm源码    RC算法
CAST256 asm源码   CAST256 的加密算法
MARS asm源码   MARS算法源代码
MMB asm源码   MMB算法源代码
Q128 asm源码    Q128
SCOP asm源码    SCOP
     


 

编辑相关

程序名称 源码 作者 说明
16Edit 程序及源码 yoda 十六进制工具,VC源码。


 

Ring0

程序名称 作者 说明
Hook NtContinue  deroko/ARTeam
 Ban dr7 changing from ring3 and foobaring hardware breakpoints 
Hook ZwQuery  deroko/ARTeam
 Hook NtZwQuerySystemInformation to hide SoftICE drivers
IopXxxControlFile Hook  deroko/ARTeam
 catch Control Codes sent to themida driver
Ring0 memory dumper  deroko/ARTeam
 dump ring0 memory only
Fake RDTSC  deroko/ARTeam
 make rdtsc privileged instruction and handle it system wide
Loader from ring0  deroko/ARTeam loader for ring3 from ring0
Hook scan deroko/ARTeam scan for hooks in exported procedures from ntoskrnl.exe
IntFooBar  deroko/ARTeam hook int1/3 with 0FFFFFFFF and make IDT user visible/writable
Tasm 32 DDK  deroko/ARTeam make drivers using tasm32 

 

 

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/Mobidogs/archive/2007/01/22/1489858.aspx

liuxingbin
关注
强制脱壳
07-07
WSUnpacker是一个“通用”脱壳机,其功能如下: 1、一键全自动脱壳。目前能够脱的壳见下面列表 2、一个通用脱壳引擎。对未知的壳可以尝试使用通用脱壳引擎来脱壳 3、壳类型的识别。能够识别常见的各种壳,包括最新的 VMProtect、SafeEngine、VProtect、ZProtect等 4、编译器的识别。能够识别常见的各种编译器,包括 Delphi、BCB、Visual C++、Masm、MingW32等 5、文件类型识别。能够识别常见的各种文件类型,不通过扩展名,内含一个特征库,通过特征码识别出各种文件类型。如pdf、rar等。
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
脱壳_加密壳_002.exe
for_mat_的博客
08-03 230
打开OD之后是这样的: 为什么说第一个call是初始化函数地址呢?原因是进去之后是这样的: jmp之后: 先解释一下第一个注释:怎么查看位于第几个区段?点击M 第二个注释,进入call里面看一看:(IAT加密的特征:以四个0结尾) 那么现在就去找加密的地方,在messagebox之后只有一个call,随后就jmp了,因此怀疑这个call里面进行了加密,进去: 找到I...
单步跟踪法脱壳加密
小龙在线
09-12 719
先用ExeinfoPe查看一下是否加壳以及壳的类型: 加壳了,类型为aspack压缩壳。 一般的Win32程序从_start开始执行,然后到main函数。压缩加壳程序一般是从_start开始,然后到load函数,把代码恢复,然后jmp跳转到真正要执行的代码位置区域,最后到main开始执行。脱壳其实就是上下文恢复的过程,从pushad保存到栈上,popad恢复弹出到寄存器,一般是长跳转(段之间的跳转),从而恢复上下文。 注意用英文原版ollydbg。 常用快捷键: F2下断点 F4运行到此处 F7步入 F8
脱壳(中) 脱壳的方法
蜂刺
11-03 2937
那些年我们一起脱过的衣裳-脱壳(中) 珈蓝夜宇 · 2015/10/29 10:42 0x01 我能在万花从中脱去壳的衣裳!(续) 3.3ESP定律法 3.3.1ESP定律介绍 ESP定律法是脱壳的利器,是国外友人发现的。有了ESP定律,可以方便我们脱掉大多数的压缩壳。可谓是本世纪破解界中最伟大的发现之一。这里只简单的看一下狭义ESP定律的原理。 当我们用O
专用UPX脱壳加密解密
12-11
加密解密是与UPX脱壳相关联的另一个概念。有时,为了增强保护,UPX压缩的文件可能会被进一步加密。在这种情况下,脱壳机还需要具备解密功能,才能正确还原原始代码。解密过程可能涉及到对特定算法的理解,以及使用...
C#各种加密方式的 加密解密工具,可以直接运行的源码 含类库文件
12-01
在IT领域,尤其是在软件开发中,数据安全是一个至关重要的议题。...总之,此项目提供了一套完整的C#加密解密工具集,涵盖了多种加密算法,对于开发者而言,无论是学习还是开发安全相关的应用,都是一个宝贵的参考资料。
加密解密脱壳手记---Themida(2.1.2.0)分享.pdf
02-16
加密解密脱壳手记---Themida(2.1.2.0)分享.pdf
小甲鱼_加密解密教程全套
11-11
小甲鱼_加密解密教程基础视频,小甲鱼_加密解密教程之工具篇,小甲鱼_加密解密教程之系统篇,小甲鱼_解密调试之OD使用系列教程
TVBOX影视仓v5.0.18脱壳解密
最新发布
04-23
影视仓原版脱壳解密去三防版分享给大家!在这里功能强大很多全新的视频内容可以自己探索成功,不一样的全新故事等你去感受,如果你也喜欢的话记得来007本栏目下载追剧吧! 影视仓内置多仓最新配置接口版本2023下载 ...
反调试——IsDebuggerPresent
一个热爱逆向,喜爱学习、分享的猿。
10-14 676
IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试附加了进程,函数返回一个非零值。 直接调用实现: BOOL CheckDebug() { return IsDebuggerPresent(); } 看到过的一种函数动态调用实现: BOOL CheckDebug() { HANDLE hKernel32 = NULL; DWORD d
各种壳的脱法及技巧
weixin_43781139的博客
11-27 919
各种壳的脱法及技巧 常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳 1、模拟跟踪法 无暗桩情况下使用 1.F9试运行,跑起来就无SEH暗桩之类的,否则就有. 2.ALT+M打开内存镜像,找到包含“=sfx,imports reloco tions”字符 3.地.
[译]The other ways to detect OllyDbg 检测OllyDbg的另类方法
声明:因这个CSDN的BLOG莫名其妙地不能发表文章了,请您访问我的新BLOG:roba.blogchina.com,给您造成的不便请原谅
10-29 1686
[译]The other ways to detect OllyDbg 检测OllyDbg的另类方法 这是linhanshi兄放在他的网站上的,我觉得不错就翻译了下,水平很烂,多多包涵!The other ways to detect OllyDbg 检测OllyDbg的另类方法Pumqara作/RoBa[TT]译前言现在是2004年了,RING-3级调试器被越来越多地使用,因为它们有图形界面
Win32下常见反调试技术
HexRain的专栏
12-17 4938
1 探索内存差异 跟到的一个IceSword用户层程序中的一个反调试代码: (跟Kernel32!IsDebuggerPresent函数的实现方法一致) mov     eax, dword ptr fs:[18]     当前进程TEB->Ptr32 _NT_TIB mov     eax, dword ptr [eax+30]     eax+30h是peb的地址 movzx
写一个PE的壳_Part 1:加载PE文件到内存
可乐松子的博客
05-25 1198
前面都是PE的零散的知识,可以通过给PE文件写一个壳将前面的PE相关知识进行汇总 网上看到了一个英文教程(详细看参考),里面包含了给PE加壳和调用LIEF库的操作(这个库很简单);按照教程实现一遍(错误都进行了修正,主要是Part4),对理解PE文件格式和脱壳很有帮助 下面是结合自己的实践写的笔记,不是教程的原版翻译 教程主要实现的壳的整体功能: 1.A PE File will be copied as-is (at first) in a custom section. 2.The unpacke.
通过IsDebuggerPesent讲解windows PEB进程环境块结构
赫的BLOG
06-05 2676
首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 写一个使用Is
OD定位IsDebuggerPresent检测地址
二狗子的Blog
01-09 1271
编写个小程序,调用IsDebuggerPresent来检测调试器是否存在 2.打开原版汉化OD并附加到程序里,这里不能使用第三方OD,因为第三方OD集成了许多插件,有一定强度的反调试功能。 附加后,OD自动在模块入口处断下。 3.Ctrl+F9,执行到返回,程序跑起来之后再按Ctrl+N,调出来查看程序用了哪些模块命令。 找到了,这个程序调用了IsDebuggerPresent。 4.右...
Android Apk加固厂商特征,Apk加固哪家强?
键盘的起始页
12-25 5532
一、Apk加固厂商特征(apk包含以下一个或多个文件) 爱加密 libexec.so, libexecmain.so,ijiami.dat 娜迦 libchaosvmp.so , libddog.solibfdog.so 梆梆 libsecexe.so, libsecmain.so 梆梆企业版 libDexHelper.so , libDexHelper-x86...
MinGw与Cygwin的区别
常思考->有目标->重实践->善反思
11-24 7896
一、GCC的一般介绍 GCC是一个原本用于Unix-like系统下编程的编译器。不过,现在GCC也有了许多Win32下的移植版本。 GCC是GNU公社的一个项目。是一个用于编程开发的自由编译器。 最初,GCC只是一个C语言编译器,他是GNU C Compiler 的英文缩写。 随着众多自由开发者的加入和GCC自身的发展,如今的GCC以经是一个包含众多语言的编译器了。
加密解密基础与汇编知识手册
"加密解密手册" 本书是一本深入探讨加密解密技术的手册,涵盖了从基本的汇编语言知识到高级的逆向工程技巧。它旨在帮助读者理解计算机安全的基础,特别是针对软件保护和反调试策略。以下是书中部分关键知识点的详细...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值