- 博客(9)
- 收藏
- 关注
原创 Unicorn在VMP脱壳修复中的应用
去年有尝试破解过国产某VMP强壳,初步估计大概脱壳修复进度在80%左右。可惜的是受限于时间原因,还有一个遗留的bug没有解决,导致后面无法继续分析。由于对该壳打包的应用内存转储后的修大多是基于unicorn完成的,本文将基于当时的一些经验,介绍下unicorn框架在VMP脱壳修复中使用场景。由于大多数国产VMP壳都已经商业化,本文不介绍OEP的寻找方式等内存转储前的会暴露壳信息的内容,主要探讨一些内存转储后,针对VMP壳的通用修复能力IAT的加密一般分为两类:首先,我们内存转储时也可以同步dump出可执行文
2026-05-05 11:57:18
319
原创 Enigma Protector逆向分析2 —— 一种基于detours的C#软件脱壳方式
严格来说,本文没有对Enigma Protector的执行原理进行分析,而是期望找到一种通用的脱壳方式,为加二进制壳C#程序的破解抛砖引玉。由于Enigma壳会对被加壳的程序进行加密压缩,的样本在加密压缩过程中可能丢掉了一些特征信息,导致die查壳的时候没有对编程语言做有效识别。通过程序的导入表(含有mscoree.dll)以及程序目录下大量形如xxx.xxx.xxx.dll的动态链接库,初步确认该二进制是由C#语言编译而成。已有软件的试用码,需要找到有效方法从内存中dump出二进制镜像,进行脱壳还原。
2025-01-05 15:23:00
2679
原创 Enigma Protector逆向分析1 —— dll loader
最近逆向过程中碰到了两个Enigma Protector的壳,无法通过正常下断点+patch代码的方式绕过注册界面,而且网上的分析资料很少,加上大多数都是针对于较低版本的壳,导致参考价值较低,真实环境分析时十分头疼。本文会尝试对某Enigma壳样本(DIE显示查壳如下图)从程序入口点到OEP处展开详尽分析,期望能对后续其他类Enigma壳的破解提供一点思路。先简单介绍一下Enigma Protector,
2024-11-12 21:11:32
2359
原创 某Delphi软件逆向记录
然而,在ida中运行导出的idc脚本后,会发现很多函数虽然起始地址和结束地址是对的,但是内部的汇编代码全被误识别成了二进制的数据(如db dd dw)。居然是加了上古的ASPack壳,并且是Delphi编写的,维护这个软件的公司10年以内没有重构过了。从网上随便找了个脚本把ASPack的壳脱了,但是Delphi编译后乍看一片混乱,俗话说工欲善其事必先利其器,需要找一套合适的工具先还原一下符号信息。),把脱壳后的二进制文件直接拖到里面,软件会自动分析出是Delphi 7编写的。
2023-10-04 09:25:15
2301
1
原创 CoPerception源码逆向分析 mapping.cpython-37m-x86_64-linux-gnu.so
CoPerception源码逆向分析 mapping.cpython-37m-x86_64-linux-gnu.so
2023-07-04 20:47:56
1144
3
原创 windows 下使用 c++ 调用 tensorflow(msvc/mingw) 进行 model inference
windows 下使用 c++ 调用 tensorflow(msvc/mingw) 进行 model inference
2022-11-23 18:13:43
2797
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人
RSS订阅