自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(14)
  • 收藏
  • 关注

转载 VMP1.8的IAT分析,同时膜拜一下Nooby大牛

首先说一说VMP1.8,当然大家认为壳很老了,直接跑脚本就可以了,但本人并不是这麽认为,本人可能比较执拗的人,一定要知其然,知其所以然(所以学得慢吧,也许,呵呵。)看了kissy的壳世界,对VMP有一定的认识了,也在网上找了一些有关VMP1.8的文章来看了。搜到UPK,一阵暗喜,UPK有一些关於VMP的文章,可惜,我注册后过几天就关了,令人唏嘘不已。不说了,来正题,再者PYG论坛里好像没多

2015-08-24 08:53:57 2482

转载 ODbgscript 1.82.x Document

ODbgscript 1.82.x DocumentOllyScript脚本语言是一个种类汇编的语言。你使用它来控制ODbgScript和脚本运行. 在后面的文档中, “源操作数” 和 “目的操作数”表示以下含义:- 十六进制常数,既没有前缀也没有后缀。 (例如:是00FF, 而不是 0x00FF 和 00FFh的形式)  十进制常数,在后缀中加点. (例如:1

2015-08-13 13:11:05 854

转载 VMP 1.6-1.7脱壳记录(淘淘文件时间修改之星1.4,)

最近在看天草的VMP和他乡的VMP教程,感觉都是脚本党啊,看了只能明白一些东西,有很多很模糊的概念,他乡这个纯碎是只讲操作不讲原理,坑爹,幸好没买他的教程,不然亏死。因为想练习一下脱这壳,于是上菲凡下了这个东西练手:EP:007C3B5E >  68 394693A7     PUSH    0xA7934639007C3B63    E8 D3541900     CALL  

2015-08-07 16:34:08 2287 1

转载 TestMessageBox 手动添加API

因为要手工导入API,因此先定位到IAT:IMPORT_DIRECTORYRVA:3778size:8c处在rdata(rva:3000,大小cf4),文件偏移(1600,大小e00)相对区段偏移:3778-3000=778,那么实际文件FOA:1600+778=1d78由于原来所在的IAT表不足以容纳新增的API,因此新增一个区段:(加一个导入函数即加一个import

2015-08-07 16:15:09 444

转载 Enigma Protector脱壳学习记录

Enigma Protector脱壳学习记录空间步聚:1:由于ENG这个壳是由一个DLL来实现加壳,因此F2断点很容易被检测,所以下二次断点,第一次下VirtualAlloc下断,断下后在401000处下硬件写入断点,断下,找到解码的地方,然后F2到这个写入函数的RETN处,执行,然后查DELPHI第一个CALL,发现有些CALL还没解码

2015-08-07 16:11:59 8730

转载 Obsidium 1.3重定位修复(不用补区段)

Obsidium 1.3重定位修复(不用补区段)最近在看OB的脱壳教程,(天草壳世界),还有ximo的OB教程,今天利用空余时间,终于把程序修复成功,记录如下:找到VirtualAlloc,VirutalProtect,利用这几个函数来找到重定位的地方,然后把重定位处理的代码用xor来代替.到伪OEP,然后把重定位的整

2015-08-07 16:11:03 1436

转载 OllyDbg命令行命令+汇编指令大全

OllyDbg命令行命令以下命令适用于 OllyDbg 的命令行插件 Cmdline.dll(显示于程序的插件菜单中)===============================================================命令行插件支持的命令CALC判断表达式WATCH添加监视表达式AT在指定地址进行反汇编FOLLOW跟随命令

2015-08-03 10:55:26 918

转载 exe重定位清除,主要让WIN7的动态基址不起作用

若EXE有重定位表,在属性里将重定位已分离勾上,同时将重定位表的数值清零,OK,WIN7再也不用将EXE动态基址了。爽.原文在看雪:标 题: 【原创】【脱壳修复】win7下简单处理重定位表作 者: xhbuming时 间: 2015-04-23,15:14:40链 接: http://bbs.pediy.com/showthread.php?t=199895操作

2015-07-29 15:31:03 5688

转载 CHMmaker算法分析

原程序是upx加壳,脱壳,发现是DELPHI,然後运行,发现有过期信息,然後在messagebox下断 返回,找到函数头,F2下断,把提示那个JB给JMP掉,就没过期提示了。由於时间没把注册机代码写出来,但是分析都差不多了:1,取硬件序列号,serial,长整型,算得机器码的流程:第一部份:取低16位,乘以3,加上0x260d,转成十进制字符第二部份:整个serial按十进制输出字

2015-06-10 16:57:21 452

转载 浪漫情书+部份分析

本文是爆破。aspack加的壳,脱壳,也是DELPHI所写,运行程序,有提示程序被病毒修改,即有自校验,於是下bp CreateFileA下断,逐步跟,发现後面调用GetFilesize取得文件大小,通过判断文件大小来比较,大於某个数值则认为文件被修改过。跳过这里即可。正常运行了。於是下个按钮断点:来到头部:00488F20   .  55            PUSH

2015-06-09 16:52:26 343

转载 SuperExplorer 1.54分析

upx加壳的,脱了,是DELPHI找到按钮事件,下断,关键CALL:00724178  |.  B8 F4576D00   MOV     EAX, unpacked.006D57F4           ;  赋EAX的值转成十进制输出就是注册码0072417D  |.  E8 0269CEFF   CALL    unpacked.0040AA84                ;

2015-06-09 14:17:58 301

原创 HexEdit 3.0爆破+部份分析

HexEdit ,这个是旧版的软件,初次运行能在菜单找到一些加密算法了,可能作者的加密知识比较多啦。一开始跟了下,想看看算法,可惜功力不够,CALL有点多,也不知道加密算法,只好爆它吧。输入注册码,字符串定位到提示,然後找到函数头部,来到这里:004D69F0   .  6A FF         PUSH    -0x1                                  

2015-06-08 14:26:31 1622

原创 Magic File Renamer算法分析(注册机没能写出)

Magic file rename算法分析

2015-06-06 10:04:27 946

原创 EasyMoney算法分析(仅作为分析记录)

关键CALL如下:00597279  |.  8955 FC       mov     dword ptr [ebp-0x4], edx         ;  用户名0059727C  |.  8B45 FC       mov     eax, dword ptr [ebp-0x4]0059727F  |.  E8 1CDDE6FF   call    00404FA00059

2015-06-06 10:00:05 446

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除