- 博客(7)
- 收藏
- 关注
原创 我是怎么破掉公司分析的一款软件的时间检验的
由于公司分析的软件是通过TMD保护的,而菜鸟技术不到家,无法解决TMD壳的问题,所以请人脱掉之后再做的分析。但是这个软件每个月都会更新一次,尽管我们公司是断开外网,但是这个软件仍然会在使用时间不足10天的时候提示软件快要更新。恩,不更新就无法使用。按照以前的经验,一般是尝试修改系统时间,来测试软件是否是通过系统时间判断的。但是,即使是改了系统时间,也无法阻止这个提示的弹出。那么就考虑是否是软件通过
2017-09-18 14:08:44 528
原创 ASProtect壳的分析
此壳基本上可以统一用最后一次异常法来解决。我们载入程序,然后设置不忽略内存访问异常,隐藏OD,然后按照最后一次异常法的步骤来运行。到最后一次异常的时候,我们可以选择运行到retn,然后在内存中的代码段下断,然后shift+f9我们就可以来到它的OEP。无论是低版本,还是高版本的ASP壳,基本上都是用上述的最后一次异常法来解决。这里我们发现一个很经典的方法,就是,刚开始并不需要取消忽略任何异常,
2017-05-02 21:30:15 1320
原创 ACProtect壳2.0版本的分析
随着壳的更新,保护技术也在不断的更新,那么我们在这里分析下2.0版本的ACP壳。我们在将程序载入OD之后。选择SOD的OD隐藏,然后选择取消内存访问忽略,开始shift+F9,还是上次的程序,来到了int1,然后找到E句柄,数据窗口跟随,下断,shift+F9,下断,然后再次shift+F9 下断,然后再次shift+F9,然后取消所有的断点,点击M,00401000,F2下断,shift +
2017-05-01 22:50:21 632
原创 对ACProtect1.32壳的分析以及对抽取代码的修补
我们都知道,有调试技术,就有反调试技术,ACProrect这个壳就用到了反调试技术,它会检测调试软件OD,来分析自己的程序是否被调试。脱ACProtect1.32壳的步骤:这个壳可能会检测OD进行反调试,所以,我们需要利用SOD中的隐藏OD功能。然后我们设置非法访问内存的异常不忽略,然后很明显我们需要利用最后一次异常法来解决这个问题。在我分析的这个程序里面,程序在int 1 之后就会跑飞,
2017-05-01 15:45:52 506
原创 脱壳中FSG壳的分析和脱壳后附加代码的分析
这里我们讨论下FSG壳的脱壳。众所周知,FSG壳是一个强大的压缩壳,对于压缩壳,我们可以用堆栈平衡法进行快速脱壳。当我们将加了FSG壳的程序载入OD的以后,可以关注右边的ESP寄存器,在突变之后,按照ESP定律法按部就班的操作,就可以找到OEP。FSG壳1.3版本:在我们进入之后,根据堆栈平衡法,往下找会发现一个je,但是没那么容易直接跳,所以我们需要下一个条件断点,然后才能跳到正确的
2017-05-01 15:23:23 663
原创 关于程序自校验的一些分析
当我们脱完壳后发现,程序提示被非法修改,我们知道它是有自校验的。在平时工作中,我们脱完壳修复完毕而且如果有附加数据加上附加数据之后,如果还是没法将程序跑起来,那么我们在保证没有找错OEP的前提下,就需要考虑程序设置了自校验。对于程序存在的自校验,我们可以打开我们脱壳后的程序和未脱壳的程序进行对比,先将未脱壳的程序操作找到真正的OEP,然后开始同步F8对比,看它们的跳转是怎么进行的。下面是一个程
2017-05-01 15:12:58 2506
原创 常见的脱壳技巧
一个软件的保护,除了加入花指令之类的保护,当然是离不开壳的保护的。那么,常见的壳大多可以分为两种,一种是加密壳,一种是压缩壳。当我们想对一个软件的源码进行分析或者是想对一个软件进行优化的时候,壳就是挡在我们面前的第一个问题。那么,我们可以在这里讨论下常见的脱壳技巧,来看看以前的壳都是怎么来保护软件的。一般情况下,压缩壳是将一些常用的代码进行替换,然后在程序运行之前,壳的代码先运行,将替换掉的代码再
2017-04-30 21:46:57 631
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人