壳的世界
perfectplug
目前主要从事软件逆向方面的工作
展开
-
ACProtect unpack record1
异常0043D996 33C0 xor eax,eax0043D998 64:FF30 push dword ptr fs:[eax]0043D99B 64:8920 mov dword ptr fs:[eax],esp0043D99E CC int3 0043D99F原创 2012-05-27 00:20:27 · 402 阅读 · 0 评论 -
quosego [Themida/Winlicense unpacking questions]
http://forum.tuts4you.com/topic/17856-themidawinlicense-unpacking-questions/转载 2013-03-07 10:08:03 · 1234 阅读 · 0 评论 -
Semi-metamorphism(Seme)理论基础的一些探讨
http://hi.baidu.com/fenjianren/item/62d5a0ab23225415a8cfb77c转载 2012-11-15 17:43:07 · 406 阅读 · 0 评论 -
polymorphism 进阶历程
在国外的那些病毒高手已经开始抛弃polymorphism而转向metamorphism的时候,中国有几个人知道Funlove这种很简单的病毒(没有加密,更没有变形,唯一的技巧就是对NT进行了Patch)的原理呢?我曾经思考过一个实现metamorphism(严格说是semi-metamorphism,但足以使AVer的虚拟机无效)的方法,但这个想法出来的时候,29A发布了ezine #6,里面一个转载 2012-11-15 13:37:18 · 560 阅读 · 0 评论 -
a plan for 2012--2013
Zudy : a game robot programAudy : a Anti Anti-Virus programXudy : a game robot programFudy : a firewall program转载 2012-11-06 10:52:15 · 326 阅读 · 0 评论 -
ACProtect 一段代码自修改片段
0043B0FF 83EE 06 sub esi,0x60043B102 B9 02010000 mov ecx,0x1020043B107 29CE sub esi,ecx0043B109 BA 408996C7 mov edx,0xC79689400043B10E C1E9 02原创 2012-09-26 13:52:52 · 758 阅读 · 0 评论 -
动态获取API地址
DLL的实际装入地址不在01000000这一段严格来说,应该是找kernel32.dll的基址,因为程序在入口点处的[esp]值,在kernel32.dll中。找到了kernel32.dll的基址之后,通过查找其输出表,就可以找到LoadLibraryA和GetProcAddress这两个关键API的地址,然后再利用这两个函数得到其他API的地址(或者仍然通过查找输出表得到)。以上就是转载 2012-09-19 09:45:01 · 740 阅读 · 0 评论 -
LCF-AT says upack should be this
So there is no quick unpack way.So the Versions differ.The only thing what you have to do in your UnpackMe is to get the OEP | Find IAT start | Fix IAT with right API | Fix API Jump Table to IAT | Fix转载 2012-10-07 15:32:24 · 875 阅读 · 0 评论 -
anti-debug
转载 2012-09-14 10:48:49 · 420 阅读 · 0 评论 -
PE文件学习之一 文件内容的分部
对于PE文件格式的学习,暂且只看文件格式,用WinHex来看看这个文件,看看用到的数据结构,看看文件内容的分部:PE文件的分部大致如下图所示:1.DOS头(IMAGE_DOS_HEADER)2.NT头(IMAGE_NT_HEADERS32 ,IMAGE_FILE_HEADER,IMAGE_OPTIONAL_HEADER32)3.区段头(IMAGE_SECTION_HEADER)原创 2012-10-01 14:48:03 · 661 阅读 · 0 评论 -
Themida/WinLicense IAT 处理流程分析
http://www.krnl.info/thread-4220-1-1.html转载 2012-09-02 13:09:11 · 1008 阅读 · 0 评论 -
ACProtect unpack record2
//2012-07-110044219E ^\0F85 C3FEFFFF jnz MyUnpack.004420670044238C ^\0F85 DEFEFFFF jnz MyUnpack.004422700043D15E 83C1 04 add ecx,0x40043D161 83C2 FF add edx,-0x原创 2012-07-12 01:38:27 · 600 阅读 · 0 评论 -
脱ASProtect v1.31(手动修复IAT乱序+有奖问答)
关于asprotect 1.31的脱壳,和IAT手动修复,下面一篇文章很详细的讲解了整个过程,在输入表下内存断点是个不错的技巧,,http://www.unpack.cn/forum.php?mod=viewthread&tid=74646转载 2012-08-19 09:22:38 · 1290 阅读 · 0 评论 -
手脱ACProtect 1.4x -> RISCO soft (尽量从新手角度分析)
ACProtect 1.4x 这位脱壳者的手段和前一个手段不一样, 我自己跟踪过acprotect ,一个MessageBox 小程序 加了acprotect,然后对其进行脱壳,最后运行不了,是IAT的问题,我手动修复了,http://www.unpack.cn/forum.php?mod=viewthread&tid=57839转载 2012-08-18 19:50:01 · 1277 阅读 · 0 评论 -
脱ACProtect 2.0 Standard (Stolen Code Restoring)壳语音教程
总体来说acprotect的强度并不大,acprotect 偷代码,对输入表处理, 把这些都处理好了,就能脱掉acprotect,以下一篇文章来自upk,对壳感兴趣的朋友可以看看http://www.unpack.cn/forum.php?mod=viewthread&tid=74484转载 2012-08-18 13:56:54 · 652 阅读 · 0 评论 -
天草壳的世界
多么痛的礼物,你曾是我的全部http://qing.weibo.com/tj/909607b933000gsv.html转载 2012-08-13 15:45:36 · 2066 阅读 · 0 评论 -
Anti-Attach 防止调试器附加
今天逛了下52pojie,看到有哥们发了一段代码,摘自《加密解密3》看了下代码,只知道是HOOK ntdll.dll的ZwContinue函数,具体不知道为啥HOOK这个函数能发现调试器,这个时候我掏出了《加密解密3》,寻找答案,发现书上写了这样一句话:Ring3调试器的附加使用的是DebugActiveProcess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwCon转载 2012-08-16 12:01:30 · 5894 阅读 · 1 评论 -
POP SS and Debuggers
This little trick is very interesting, my first encounter with it was in a commercial protection, it left me wondering why a Push / Pop SS would implicit execute the next instruction without the Debug翻译 2012-07-16 14:38:13 · 693 阅读 · 0 评论 -
PE File中取Section,用RVA还是用PointerToRawData?
http://blog.csdn.net/qiqi5045/article/details/7736576转载 2013-03-28 13:38:31 · 1256 阅读 · 0 评论