Obsidium v1.5.4壳 逆向分析

于 2024-05-06 15:13:09 发布
阅读量301 收藏
点赞数 2
分类专栏: Windows 文章标签: Windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misaka10046/article/details/138492003
版权

样本是使用这个壳进行打包的 来进行逆向
在这里插入图片描述
进入X32 DBG中
进来一看就是经典花指令 混淆解析器
在这里插入图片描述
可以在CE中查找指令地址 来得到当前真正执行的指令
在这里插入图片描述
对SEH链进行劫持
在这里插入图片描述

马上就来个int 1进入异常处理函数
在这里插入图片描述
无视异常 直接进去
观察Zwcontinue函数传进去的Context结构体
结构体偏移B8位置为新线程的EIP 在新EIP位置下一个断点
在这里插入图片描述
通过遍历DLL 导出表的方式来获取函数地址
在这里插入图片描述
RemoveVectoredExceptionHandler 删除刚刚的异常处理函数
添加新的解密函数
在这里插入图片描述
使用aesenc 指令集 对数据进行AES解密
在这里插入图片描述
在这里插入图片描述
跳出来之后 再经过一个异常就能进入主程序
但是脱壳还是不会 太菜了

0xwangliang
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Obsidium v1.3.6.4.rar
10-14
Obsidium v1.3.6.4很好的加密工具,喜欢的请下载。
Obsidium V1.3.0.4 脱
zcc1414的专栏
08-30 1066
【文章标题】: Obsidium V1.3.0.4 【文章作者】:  【下载地址】: 自己搜索下载 【加方式】: Obsidium 1.3.0.4 -> Obsidium Software [Overlay] 【编写语言】: VC6.0 【使用工具】: OllyDbg 等等 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------
Obsidium V1.3.5.2 unpacked
Linhanshi Blog
12-16 667
 From:CRACKL@Bby:pavkahttp://rapidshare.com/files/76770892/ObsidiumU_.rar
[ScyllaHide] 02 InjectorCLI源码分析
kinghzking的专栏
12-21 296
[ScyllaHide] 文章列表-看雪地址: 00 简单介绍和使用 01 项目概览 02 InjectorCLI源码分析 03 PEB相关反调试 04 ScyllaHide配置报错原因定位 05 ScyllaHide的Hook原理 InjectorCLI源码分析 从项目名字,我们可以看出,该项目是注入功能的命令行程序。它实现了HookLibrary.dll的命令行注入,并启动反调试功能。 面对一个开源的、强大的反调试工程,我做了几个简单的测试: 执行命令:InjectorCLIx86.exe MyT
OBSIDIUM V1.25 Code Injection
loveboom's Reverse Enginering
05-01 2178
OBSIDIUM V1.25 Code Injection【目     标】: 超级自动注册申请王 V1.9【工     具】:【任     务】:不脱代码注入破解 【操作平台】:Win2003【作     者】: LOVEBOOM[DFCG][FCG][US]【相关链接】: http://www2.skycn.com/soft/21992.html【简要说明】: 上午看到FLY的那篇文章,GO
Obsidium一键编码作业,Obsidia惊人属性
q2315702359的博客
02-20 455
根据您的独特要求,您可以选择短许可证密钥和长许可证密钥(分别使用RSA和椭圆曲线密码),这些密钥可以以二进制或文本形式提供给您的客户端。程序代码和信息的加密、压缩和混淆:为了防止对磁盘上的应用程序文件进行反汇编和静态评估或更改,您的程序代码和数据将使用强大而快速的密码(AES)进行编码,并确认其自身的完整性。透明的系列保护:Obsidia的链保护功能允许您透明地隐藏程序期间使用的字符串常量,方法是将它们从其内存位置中删除,并将其放入安全代码中,从而使受保护软件的评估更加耗时。
新老压缩/加密大全洪雨收集推荐
weixin_30682415的博客
09-11 985
upx、aspack、fsg、Aspack Scrambler、ExeStealth、ID Application Protector、V2Packer、WWPack32、XComp0.98、bambam、BeRoEXEPacker、dePACK、ExeShield Protector、KByS、NsPacK、tElock、yoda's Nspack PECompect Petite ...
利用AI+大数据的方式分析恶意样本(十四)
至臻求学,胸怀云月
05-30 1519
二进制样本分析之脱方法研究
完美脱组装PE的一般步骤(Obsidium1.3.6.4 DEMO 主程序)
weixin_33788244的博客
04-11 250
最近学习了天草视频。记录一下笔记。 Obsidium1.3.6.4DEMO版本主程序下载地址:http://download.csdn.net/detail/whatday/5244425 前期准备工作: 这里主要记录的完美脱的PE组装的一些步骤,脱部分用脚本带过。 一般脱的OD脚本如下:(跳过脚本) /* repair Obsidium 1.3...
obsidium 重定位
zcc1414的专栏
08-30 492
一般  VC  VB  没有重定位表:
OLLYDBG HawkOD
02-18
HawkOD最新版是一款非常专业的BlackHawk专用OD调试器,HawkOD最新版能够修改软件... Scripts目录下有一百多种的脱脚本,包含Acprotect、Armadillo,ASProtect ,Enigma,tEPack,FSG,Obsidium,PECompact,yoda'等
Obsidium(软件保护系统)v1.6.8Build332位中文安装免费版
07-25
Obsidium是一款非常好用且功能强大的软件保护和许可系统,对于开发者来说软件被人修改是一个很麻烦的事情,使用这款软件就可以大大地加强软件的安全性,降低被修改或者破解的难度了,而且还可以添加软件许可,软件...
Obsidium(软件保护系统)v1.5.8.364位中文安装免费版
08-04
Obsidium是一款非常好用且功能强大的软件保护和许可系统,对于开发者来说软件被人修改是一个很麻烦的事情,使用这款软件就可以大大地加强软件的安全性,降低被修改或者破解的难度了,而且还可以添加软件许可,软件...
软件加围护墙Obsidium 1.3.
12-05
软件
VAD 虚拟内存
Misaka10046的博客
04-20 3061
Windows中的虚拟地址分配 使用指令dt _EPROCESS 874ed030 观察EPROCESS结构体偏移为0x278的地方,这个地方就是系统拿来存放每个进程的虚拟地址空间的分配情况 输入!vad 874ed030+278 查看该平衡二叉树 Level是二叉树的层数 start是该块虚拟地址空间的起始地址 end为结束地址 commit为请求次数 写一段程序测试下 #include<stdio.h> #include<Windows.h> int main() {
通过驱动断链来隐藏驱动
Misaka10046的博客
07-12 2795
隐藏指定驱动 尝试隐藏这个驱动 #include <ntifs.h> typedef struct _KLDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY exp; ULONG un; ULONG NonPagedDebugInfo; ULONG DllBase; ULONG EntryPoint; ULONG SizeOfImage; UNICODE_STRING FullDllName; UNICO
UNICODE_STRING
Misaka10046的博客
04-08 1520
UNICODE_STRING 是在内核中描述字符串的结构体,和应用层的Char不一样,Unicode_String 每个字占两个字节,计算length是 *sizeof(WCHAR) 定义为 UNICODE_STRING Str = {0} 结构为 typedef struct _UNICODE_STRING{ USHORT Length;//字节数 USHORT MaximumLength;//字节数,告诉系统函数多少内存可用 PWSTR Buffer;//指向字符串的指针 }UNICODE_STRING
CVE-2022-21882复现
Misaka10046的博客
05-10 1319
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
生成文件的MD5码
最新发布
Misaka10046的博客
05-13 1097
【代码】生成文件的MD5码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值