- 博客(23)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 160个Crackme017
文章目录查壳一样的014和017?破解反调试分析算法014和017区别写出注册机查壳一样的014和017?这个Crackme和014和016是同一个作者,不会又是重复的吧?输入014的序列号试试好吧,虽然是能蒙对,但其实里面的算法是完全不一样的,这到底是为什么?这个问题留到最后面直接根据字符串的错误提示,来到函数头的位置,也就是按钮事件开头,来分析整个算法破解反调试这个Crack...
2019-03-31 14:38:17
341
原创 160个Crackme016
文章目录查壳分析程序查壳这个和014那个Crackme是同一个作者,连图标都没换,估计是同一个工程编译出来的,就换了下算法分析程序直接来到错误提示的地方,向上跟踪一共有三个跳转会到这里,这怎么跟014一模一样,输入之前的序列号试试看好吧 看来两个是重复的了。。。。。。PASS!需要相关文件的可以到我的Github下载:https://github.com/TonyChen56...
2019-03-29 20:18:21
282
原创 160个Crackme015
文章目录查壳去Neg破解序列号校验结果查壳首先来查一下壳,又是个VB的程序,最近几个Crackme都是VB的,逆的我都想吐了,这个Crackme有两个任务,一个是去Neg,一个是找序列号,两个都比较简单去Neg首先要把这个弹框给去掉,直接搜索字符串,找到相应的位置,当然,也可以在rtcMsgBox函数下断点找到字符串位置之后往下拉,就能看到这个弹框的函数然后会判断返回值,点击确...
2019-03-29 20:02:06
283
原创 160个Crackme014
文章目录查壳分析程序验证结果查壳还是个VB写的程序,没有壳分析程序既然是单纯的一个序列号的保护方式 就没有必要分析算法了,直接追踪序列号就行首先,根据错误的字符串提示向上找跳转这两句一共有三个跳转,也就是说对序列号进行了三次判断首先来到403704这个位置的跳转这里是比较字符串的长度是否为9,不是则报错接着再来到403A04这个位置的跳转这里会根据vbaVarT...
2019-03-29 18:17:30
312
原创 160个Crackme013之投机取巧
文章目录前言分析程序OD调试程序前言之所以直接跳过Crackme012是因为那个是个16位的程序,放到现在来说就算逆出来了意义也不大,想要追求完美的同学可以去看下逆向驿站公众号号主发的文章。分析程序这个Crackme有两个,一个是单纯的序列号,另一个是用户名和序列号的保护方式。用VB反汇编工具来看下,是P-Code编译的,唉,头疼,直接用OD看吧OD调试程序首先来看1.0根据...
2019-03-29 15:55:20
369
原创 007 未知加密壳
文章目录查壳OD脱壳解密IAT修复导入表破解Crackme查壳目标程序链接器版本是6.0 可能是VC6写的程序 PEiD查壳没有查出来,应该是别人自写的一个壳OD脱壳载入之后到达壳的入口点 采用单步跟踪的方式找到程序的OEP 一直单步之后 到达OEP在入口处 我们发现程序符合VC6的入口特征 但是第一个call并不是GetVersion查看内存 发现IAT被加密了 这个时候 如果...
2019-03-23 18:36:37
595
原创 160个Crackme011
文章目录查壳分析思路寻找突破口OD分析程序分析核心算法强行推序列号查壳目标程序是使用VB写的,和前面三个crackme是同一个作者分析思路寻找突破口这个就是这次的目标程序,只提供了一排输入按键和右边的提示,没有确定按钮,那么猜测这个程序校验序列号的方式应该有两种,一种是通过Serial编辑框的变化事件来判断,一种是通过定时器来判断。然后再用VB Decompiler来看一下有哪些事件...
2019-03-21 19:38:00
376
原创 006 kkrunchy_Ryd之类FSG压缩壳
文章目录前言查壳OD脱壳修复导入表前言最近一直在看脱壳系列的教程,国内能找到的脱壳视频几乎都看了个遍,大部分由于年代实在是太久了,附带的示例程序完全不能运行,或者是某些未知原因用相同的步骤中间总是会出差错,后来找到了 吾爱破解脱壳练习系列动画,主讲人是论坛的小生大神,感觉这个系列的教程是最适合我的,这个例子是 吾爱破解脱壳练习系列动画的第一课,一个有点类似的FSG的压缩壳。查壳目标程序是...
2019-03-21 14:19:22
483
1
原创 160个Crackme010
文章目录查壳分析程序分析算法写出注册机验证结果查壳跟008和009这两个crackme一样是同一个作者,还是用VB写的。分析程序这个程序的保护方式也很简单,只有一个序列号直接搜索字符串,根据错误提示来到关键代码处,接着一直往上找,接着就看到了这个地方的跳转来自0x402053这个位置,跟过去看看这里有一个关键的比较,根据ax的值来提示是否正确。kXy^rO|*yXo*...
2019-03-18 20:04:17
352
原创 005 NsPack 1.4 之附加数据初探
文章目录查壳OD脱壳修复导入表处理附加数据关于附加数据NO.1NO.2NO.3查壳拿到样本之后先查壳 发现是NsPack 后面还有个Overlay 看到这个就要警惕了 说明PE程序尾部有附加数据OD脱壳载入OD之后在入口点发现了pushfd和pushad 于是采用最快的脱壳方法使用Ctrl+S键 查找所有命令查找对应的两条命令在jmp的地方下断点 F7就能到达OEP 之后du...
2019-03-15 11:53:14
344
原创 160个Crackme009
文章目录查壳VB Decompiler分析程序前置知识OD分析算法写出注册机验证结果查壳先来查一下壳,这个程序是用VB写的,和008是同一个作者,用的是用户名和序列号的保护方式,难度可能会有所上升,所以得分析整个按钮点击事件的算法。VB Decompiler分析程序把程序拖到VB Decompiler里,这个可是VB的逆向神器啊。重要的信息有两个,一个是Native Code,说明是...
2019-03-14 16:17:35
631
原创 004 .NetReactor 3.6.0.0之另类脱壳法
文章目录前言查壳脱壳修复目标程序前言最近一直在看脱壳的相关资料,看到了Tuts4you社区脱壳脚本的教程,这个壳我感觉很不错挺有意思的,于是打算将内容整理下分享出来。查壳这个壳是.NetReactor 3.6.0.0的版本。根据作者的介绍,这个壳只是一个包装器,它包装目标程序,然后将其全部解包到内存中执行。但是这是一种不安全的方法,因为有人可以将内存中的目标程序转储回文件并完全恢复程序集...
2019-03-12 18:59:36
1730
转载 宏病毒的研究与实例分析05——无宏文件携带宏病毒
文章目录前言远程模板注入执行宏docx文件格式解析窃取NTLM Hashes小结说明前言docx文件可能是宏病毒吗?如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含宏的,所以不可能是宏病毒。但是,现在笔者却会斩钉截铁的说:”即使没有宏也可能是宏病毒!”。故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,...
2019-03-11 21:48:14
1639
转载 宏病毒的研究与实例分析04——实战分析
文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明本章我们将分析几个有趣的宏病毒,一窥宏病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。样本1-powershell_downloader首先使用oledump.py提取宏:提取到的宏代码如下:Attribute VB_Name = "Module1"Sub Auto_Open...
2019-03-11 21:08:09
22819
1
转载 宏病毒的研究与实例分析03——宏病毒处理篇
文章目录宏病毒处理思路破坏宏标志宏清除脚本手工清理宏(针对* .DOCM和* .XLSM文档)替换宏代码说明在前一章我们解析了宏病毒的二进制格式,本篇紧跟上文,利用宏病毒的二进制格式清除宏病毒。宏病毒处理思路破坏宏标志在解析OLE文件时,我们介绍过Directory,其中其偏移0x42H这个字节的表示DirectoryEntry的类型Type。0为非法,1为目录(storage),2为节点...
2019-03-11 19:33:32
3317
3
原创 160个Crackme008
文章目录查壳OD分析校验密码接下来分析008这个crackme,难度是一颗星查壳VB写的 没有壳。既然是VB写的程序,那IDA就帮不上什么忙了,VB的反编译工具反编译出来的源码我也看不懂,算了直接上OD吧。OD分析首先根据错误提示查找到字符串跟进去,这里是报错的地方,一步一步往上跟,看看到底是什么地方跳转到这里的。紧接着就看到这个地址的跳转是来自于00401D9D,OK继续跟...
2019-03-11 14:51:16
435
转载 宏病毒的研究与实例分析02——复合文档格式分析
文章目录复合文档二进制解析复合文档数据结构解析准备工作基础知识HeaderFATDirectory补充宏代码数据结构解析说明目前主流杀软在处理宏病毒时,都是直接删除含有宏病毒的文档,这样处理显得有些粗暴,将导致用户无法查看文档里的数据,如果是一些重要的业务数据,将造成业务数据的丢失,产生无法估计的后果。本文将介绍一种宏病毒处理思路,在不删除文档文件的情况下清除宏病毒。复合文档二进制解析在正式...
2019-03-11 10:30:44
2198
转载 宏病毒的研究与实例分析01——基础篇
文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒的分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性恶意行为字符串宏病毒的防御手段禁用宏越过自动宏恢复被宏病毒破坏的文档说明前言本系列文章将由浅入深对...
2019-03-10 19:45:02
10410
原创 003 PECompact 2.55
文章目录查壳单步跟踪查找OEP修复导入表查壳这个目标程序是PECompact 2.55的壳。脱这个壳的时候需要用一些技巧和套路。单步跟踪查找OEPOD载入,首先我们需要在VirtualFree下一个API断点,之所以下这个断点是因为壳在解压或者解密代码段的时候都需要申请一块空间来进行解密或解压操作,当VirtualFree完成之后,说明壳的解密或解压操作完成。然后直接F9运行,...
2019-03-10 13:17:16
338
原创 002 PECompact 1.84
文章目录查壳单步跟踪到OEP修复导入表查壳今天来脱一下PECompact 1.84这个壳,脱这个壳的目的是为了了解一个技巧——当遇到无法向下跟随的时候,可以找到附近没有实现的大跳转,下断点继续跟踪。单步跟踪到OEP接下来OD载入这个程序,采用单步跟踪的方法脱掉这个压缩壳。当程序执行到这个位置的时候,这里有一个jmp是往上跳的,按照常规的单步跟踪脱壳的方法,我们应该直接在下一条命令处...
2019-03-10 13:11:51
520
原创 001 FSG 1.33变形壳
文章目录查壳OD脱壳修复导入表修复程序查壳首先来查一下壳,是FSG1.33的壳,不过是个变型壳。OD脱壳关于FSG的壳有一个特点,只要一直往下拉找到一个远跳,这个远跳跟过去就是OEP的位置。然后在这里下断点F7就能到达OEP。关于如何快速失败远跳,我是通过OpCode的方式。可以看到上图框起来的地方就是目标地址减去当前地址的偏移,当这个地址值比较大的时候,就能确定这是个远跳。接着再...
2019-03-09 20:53:52
508
1
原创 160个Crackme007
文章目录查壳Darkde分析程序导入符号分析核心算法写出注册机校验结果分析again按钮事件校验步骤007这个crackme跟006是同一个作者,只不过难度上升了一颗星。先来查一下壳吧查壳还是Delphi写的程序,没有壳。接下来用Darkde分析一下程序。Darkde分析程序右边这个again按钮是被隐藏的。然后再来看事件这里有以下几个事件:Cancella按钮的点击事件A...
2019-03-09 10:23:53
497
原创 160个Crackme006
文章目录查壳导入符号分析程序分析关键函数写出注册机验证结果分析ok按钮点击事件分析关键函数写出注册机校验结果查壳同样也是用Delphi写的,没有壳。导入符号将程序载入到IDA,添加所有的Delphi的签名,然后导出为map文件,在OD中加载map文件,强大的签名库可以减少后面的分析时间。分析程序接下来分析一下这个程序,OK那个按钮被禁用了,这是什么套路?旁边还有个help,不过...
2019-03-06 17:54:27
1021
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人