视频笔记-吾爱破解ximo脱壳视频12

最新推荐文章于 2022-10-22 20:58:05 发布
最新推荐文章于 2022-10-22 20:58:05 发布
阅读量348 收藏 1
点赞数 1
分类专栏: Shelling
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15727809/article/details/79782240
版权

**目标:自校验的去除方法
适用于:当脱壳完成后,程序能运行但报遭修改的错误。修复了IAT之后,程序不能运行**
这里写图片描述
这里写图片描述
脱壳完成后,到程序OEP位置
这里写图片描述
同时打开原程序和脱壳完成后的程序,同时下断点bp CreateFileA
这里写图片描述
这里写图片描述
都取消断点,单步跟,比较二者不同,发现有一个跳转不同
这里写图片描述
这里写图片描述
则把脱壳后的程序这个跳转nop掉,或者改成jz,则程序正常运行
这里写图片描述

Angelki
关注
专栏目录
视频笔记-吾爱破解ximo脱壳视频1~10
I have a dream
04-01 1401
总结归纳一下脱壳的几种方法: 1、单步跟踪法: 即F8一直运行下去,直到找到OEP 向下的跳转可以进行,向上的跳转不能进行 2、ESP定律法: 利用堆栈平衡原理,找到OEP 适用于:大部分的壳。例如:UPX壳、ASPACK、NSPACK、FSG、PECompact、EZIP、EXE32PACK等 3、一步直达法: 利用...
学习ximo脱壳视频:1、手脱UPX壳
Jaychouzzk
04-22 367
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95查询到,此程序壳为UPX壳使用Ollydbg载入程序对于UPX壳的程序,有四种寻找OEP方法:1.单步跟踪,2.ESP定律,3.一步直达法,4.二次内存镜像法1.使用单步跟踪法找到OEP。使用单步步过(F8)一步一步向下执行,遇到向上跳转的语句,将程序运行到下一句继续执行,再继续单步跟...
ximo脱壳基础(个人学习汇总记录 一 )
bukengde的博客
04-02 640
0x01 假期学习了”ximo脱壳基础“,学习过程中有一些记录发出来可以供大家参考。记录中步骤都是以“ximo脱壳基础”中的例子为参考,部分壳进行时需要根据具体情况进行改变,这里的总结步骤不是绝对的过程。 有些方法是通用的,所以会重复出现。 0x02 1)UPX壳(压缩壳) 方法一:单步跟踪 使程序只执行向下跳转,不让向上跳,直到运行...
ximo脱壳基础(个人学习汇总记录 二 )
bukengde的博客
04-02 410
本篇从“ximo脱壳基础”教程第16节开始 0x02 (16)脱ACProtect1.32(无Stolen Code) 1)、设置异常,隐藏OD 选项—>调试设置—>设置内存访问异常 插件—>StrongOD—>Options—>勾选HidePEB Shift+F9直到程序运行(记录次数) 重载—>Shift+F9直到程序运行(次数-1)—>查...
视频笔记-吾爱破解ximo脱壳视频11
I have a dream
04-01 305
目标:对附加数据的加壳软件进行处理 首先将该文件进行脱壳,完成后,对其进行修复。 发现用LordPE 和Import修复后不能正常运行,则用winhex打开原程序,找到最后一块的开始位置 从此位置复制到结束(利用右键选块地址进行复制),并用winhex打开修复后的文件,将其粘贴到最后,另存为新的文件,发现文件能正常运行了! ...
学习ximo脱壳视频:2、手脱ASPACK壳
Jaychouzzk
04-22 393
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95进行查壳        此程序的壳为ASPack使用OD载入程序,ASPack壳查询OEP有6种方法,1.单步跟踪,2.ESP定律,3.一步直达,4.二次内存镜像,5.模拟跟踪,6.SFX现演示两次内存镜象法、模拟跟踪和SFX法来进行查询OEP一、两次内存镜像法首先使用OD 载入此程序...
2010.10.15_ximo_VMP脱壳后antidump的处理及再谈简单的爆破(带视频)
记录点滴
05-06 1895
http://www.52pojie.cn/thread-67701-1-1.html  发表于 2010-10-15 21:36:31 VMP脱壳后,有个antidump,也就是说,加了VMP外壳后,又VM掉了某关键代码后,脱壳后,就得处理antidump部分,不然程序会出错。 下面就简单的说下我个人的处理方法,当然,方法很多,我能力有限,只会这种垃圾的方法。当然比补区段要看点,补区段实
2010.09.28_ximo_纠正下VMP脱壳中的修复DLL的错误
记录点滴
05-06 2190
http://hi.baidu.com/ximo2006/blog/item/ff0d3211f139f7def6039e75.html 用来纠正下《也来谈谈VMP2.05的脱壳》中,那个修复DLL的一些小问题。 主要的问题是出在对于导入的函数为序号时,则当时的代码就会出错。 比如MFC42.DLL中的函数都是按序号索引的,如mfc42.#4710 这时候,如果按这样的代码去获取地址:
软件逆向工程脱壳分析
09-06
独立开发软件保护系统,深度了解脱壳的本质,提高软件逆向水平 中级班的程大致分为前期PE文件格式的解析,中期保护壳的编写,后期实现脱壳,变异原理以及虚拟机保护原理 编写保护壳详细详解各种加密思路,防破解思路,以及反调试,PE格式等相关知识等,让自己对PE文件格式完美上升一个档次,文件格式又分为基础与应用,基础是次要,应用是主要,老师会深入浅出的带领同学们对PE文件格式进行各种应用,比如实现修复重定位完成DLL加壳,提取原入口点并且对这个入口点进行加密保护,以及对区段的各种加密手法与技巧,如何实现IAT保护.识别代码块保护学习这一门程具有极强的功效!为自己后面脱壳打下坚实的基础
修复IAT
qq_41071646的博客
09-14 1921
链接:百度云盘 密码:yvt2 其实这个操作 我感觉是有、操作的 修复iat 需要的 有oep  有 IAT表的地址 (大小其实最好也算出来) 然后这篇就是手动查找IAT 然后这个先找到oep 然后直接修复镜像   右键 修复镜像 保存 然后查找 IAT 其实这个也很简单  在上面的脱壳   有 call  dword ptr ds[425210] 然后 很明显是一个调用的 api ...
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
逆向软件后,手把手教你如何修复IAT表
最新发布
10-31
逆向软件后,教你手把手修复IAT表
SE脱壳相关.rar
09-01
包含 浅谈Safengine系列脱壳 Safengine Shielden v2.40 IAT修复及脚本编写(x64dbg)及例子
Themida Winlicense不用修复VM_OEP脱壳教程.rar
03-28
Themida Winlicense脱壳教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 这里补充下,去OEP的思路,壳先填充数据,然后填充IAT,然后开始模拟OEP代码,这样下去的. 这是我自己总结的经验,我们先到OEP去看看,这里大家熟悉吧,Delphi 第一个call里面的内容,我不说这么来的了,这个以前很多教程说过,可以搜索下,吾爱有很多.我们看下IAT的情况,IAT被变形了,为了节省时间可以直接用UIF修复IAT。我们现在先修复下IAT,然后Dump一份修复IAT保存下来,IAT修复好了,我们来Dump,入口点我们先修复成这个第一个call的地方.好,dump修复完了,下面就开始关键了,我们继续F8走
IAT重定向的修复
zzx的博客
01-04 1335
有时候,一些强壳,仅仅定位到了iat表的位置,并且知道了大小,在importrec中也还是无法修复的,我们知道正常的iat表其中存放着各个函数的地址,而经过重定向的IAT表,其中并不是存放着地址,而是一个指针,这个指针,指向壳的某个内存空间中,然后在壳中代码片段将地址ret,这样的话,importrec就无法修复了,我们知道,正常的文件,他的iat表在未加载的时候是字符串名称,windows在加载
Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT
逆向随笔
12-27 1807
题目: 链接: https://pan.baidu.com/s/1wQIwaCu99mYHX8gyqMfMMQ 提取码: qwcm 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
手动修复IAT
weixin_30402085的博客
06-17 782
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措。 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使...
脱壳修复】脱壳修复IAT
这个人很懒什么都没有留下
10-22 95
如果脱壳后没有秀发IAT那也只能在你的电脑上运行,无法在别人电脑上运行,因为IAT是为了提升软件的兼容性,软件启动后每次运行都会获取当前电脑的API函数地址,脱壳后就会损坏IAT也就无法获取机器的API函数地址。可以通过od 右键 查看所有模块调用 来查询目前程序所调用的API函数地址。
脱壳后的IAT修复
谢绝(无视)留言与私信
02-01 4753
前言压缩壳(大部分)和加密壳脱壳后, 在OEP处Dump出来后, 都需要IAT修复. 否则运行报错. 今天练习了脱壳后的IAT修复, 将流程点记录一下.记录OEP处dump的工具OllyDump(修复导入表dump和不修复导入表dump) LordPE(有些壳dump不出来) PeTools OD在OEP处, 用这几种工具, 将PE映像Dump出来. 用这几种工具都Dump一下, 如果
SOP8封装N-Channel场效应MOS管9470GM-VB的特性和应用
* máximo电压(VDS):40V * 阈值电压(Vth):1.6V * 电阻(RDS(ON)):14mΩ @ VGS = 10V, VGS = 20V * 温度范围:-55°C to 150°C 注意事项 在使用9470GM-VB MOSFET时,需要注意以下几点: * 需要遵守绝对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值