我也要用
加壳脱壳
记录一下自己脱过的壳
鬼手56
代码搞起来还是很轻松的,就是头有点冷
展开
-
原创 VMP分析之VMP2.13插件化分析(四)
文章目录Zeus插件相关介绍初始化Key并解密加载操作码解密操作码取handler解密handler进入handler保存堆栈指令流解密KeyVMP分析插件相关介绍VM分析插件的使用插件化分析VM代码VM指令集说明FKVMP相关介绍使用方法VMSweeper相关介绍使用方法Zeus插件相关介绍开发者: ximo更新时间:2012-1可以分析VM的基本信息,包括解析VM入口信息及handler名,大致是阉割版fkvmp(无解析流程功能)可以自动脱壳保护的壳,包括IAT,资源保护,heap ant2021-10-10 15:55:45
91
0
-
原创 VMP分析之VMP2.13流程分析(三)
文章目录VMP2.X版本特点VMP2.13加壳VMP2.13代码分析进入VM虚拟机保存堆栈保存eflags和edx保存ecx和edi保存ebx保存eax保存ebx ebp和esiVM解码循环解密指令流key解密操作码取加密过的handler解密handler解密操作数执行handler功能VMP2.13流程总结VMP2.X版本特点2.X版本的VMP相对于1.0版本来说有下面的变化自我膨胀,增加了大量混淆指令VM_Context的存放方式由内存改为栈,vmp1区段也没有了有专门分析插件,可以帮助分2021-10-10 15:50:28
93
0
-
原创 VMP分析之VMP1.09虚拟化架构分析(二)
文章目录示例代码VM完整流程分析VM解码循环保存寄存器环境压入EBP和偏移执行函数恢复寄存器环境总结示例代码示例代码如下:#include "stdafx.h"#include <Windows.h>int Calc(int a,int b){ return a + b;}int main(int argc, char* argv[]){ Calc(2,3); getchar(); return 0;}同样用VMP1.09对程序进行加壳,只对两句代2021-10-10 15:46:28
67
0
-
原创 VMP分析之VM解码循环与基本架构(一)
文章目录示例代码VMP区段概览VM基本流程跟踪步入虚拟机解密操作码取handlerVMP解码循环保存寄存器环境总结->VM寄存器的基本架构示例代码接下来通过一个简单的Demo来大概了解下VMP代码的整体流程,示例代码如下#include <windows.h>int Calc(int a, int b){ return a + b;}int main(){ Calc(2, 3); system("pause");}这里只对Calc函数中的两条汇编指令进行V2021-10-10 15:42:54
126
0
-
原创 007 未知加密壳
文章目录查壳OD脱壳解密IAT修复导入表破解Crackme查壳目标程序链接器版本是6.0 可能是VC6写的程序 PEiD查壳没有查出来,应该是别人自写的一个壳OD脱壳载入之后到达壳的入口点 采用单步跟踪的方式找到程序的OEP 一直单步之后 到达OEP在入口处 我们发现程序符合VC6的入口特征 但是第一个call并不是GetVersion查看内存 发现IAT被加密了 这个时候 如果...2019-03-23 18:36:37
313
0
-
原创 006 kkrunchy_Ryd之类FSG压缩壳
文章目录前言查壳OD脱壳修复导入表前言最近一直在看脱壳系列的教程,国内能找到的脱壳视频几乎都看了个遍,大部分由于年代实在是太久了,附带的示例程序完全不能运行,或者是某些未知原因用相同的步骤中间总是会出差错,后来找到了 吾爱破解脱壳练习系列动画,主讲人是论坛的小生大神,感觉这个系列的教程是最适合我的,这个例子是 吾爱破解脱壳练习系列动画的第一课,一个有点类似的FSG的压缩壳。查壳目标程序是...2019-03-21 14:19:22
237
1
-
原创 005 NsPack 1.4 之附加数据初探
文章目录查壳OD脱壳修复导入表处理附加数据关于附加数据NO.1NO.2NO.3查壳拿到样本之后先查壳 发现是NsPack 后面还有个Overlay 看到这个就要警惕了 说明PE程序尾部有附加数据OD脱壳载入OD之后在入口点发现了pushfd和pushad 于是采用最快的脱壳方法使用Ctrl+S键 查找所有命令查找对应的两条命令在jmp的地方下断点 F7就能到达OEP 之后du...2019-03-15 11:53:14
138
0
-
原创 004 .NetReactor 3.6.0.0之另类脱壳法
文章目录前言查壳脱壳修复目标程序前言最近一直在看脱壳的相关资料,看到了Tuts4you社区脱壳脚本的教程,这个壳我感觉很不错挺有意思的,于是打算将内容整理下分享出来。查壳这个壳是.NetReactor 3.6.0.0的版本。根据作者的介绍,这个壳只是一个包装器,它包装目标程序,然后将其全部解包到内存中执行。但是这是一种不安全的方法,因为有人可以将内存中的目标程序转储回文件并完全恢复程序集...2019-03-12 18:59:36
719
0
-
原创 003 PECompact 2.55
文章目录查壳单步跟踪查找OEP修复导入表查壳这个目标程序是PECompact 2.55的壳。脱这个壳的时候需要用一些技巧和套路。单步跟踪查找OEPOD载入,首先我们需要在VirtualFree下一个API断点,之所以下这个断点是因为壳在解压或者解密代码段的时候都需要申请一块空间来进行解密或解压操作,当VirtualFree完成之后,说明壳的解密或解压操作完成。然后直接F9运行,...2019-03-10 13:17:16
158
0
-
原创 002 PECompact 1.84
文章目录查壳单步跟踪到OEP修复导入表查壳今天来脱一下PECompact 1.84这个壳,脱这个壳的目的是为了了解一个技巧——当遇到无法向下跟随的时候,可以找到附近没有实现的大跳转,下断点继续跟踪。单步跟踪到OEP接下来OD载入这个程序,采用单步跟踪的方法脱掉这个压缩壳。当程序执行到这个位置的时候,这里有一个jmp是往上跳的,按照常规的单步跟踪脱壳的方法,我们应该直接在下一条命令处...2019-03-10 13:11:51
128
0
-
原创 001 FSG 1.33变形壳
文章目录查壳OD脱壳修复导入表修复程序查壳首先来查一下壳,是FSG1.33的壳,不过是个变型壳。OD脱壳关于FSG的壳有一个特点,只要一直往下拉找到一个远跳,这个远跳跟过去就是OEP的位置。然后在这里下断点F7就能到达OEP。关于如何快速失败远跳,我是通过OpCode的方式。可以看到上图框起来的地方就是目标地址减去当前地址的偏移,当这个地址值比较大的时候,就能确定这是个远跳。接着再...2019-03-09 20:53:52
282
0