快速恢复Safengine Protector的Shadow DLL

最新推荐文章于 2024-09-06 22:49:22 发布
最新推荐文章于 2024-09-06 22:49:22 发布
阅读量4.9w 收藏
点赞数 1
分类专栏: C/C++ 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rrrfff/article/details/18844699
版权
本文介绍如何在C++中快速恢复Safengine Protector的Shadow DLL,主要通过HOOK NtCreateFile, NtReadFile, NtClose来确定并恢复被保护程序的API调用。内容包括Shadow DLL的工作原理和利用PE结构恢复特定API的方法。" 139217608,2391601,电子式互感器种类详解,"['电力系统', '传感器技术', '电力测量', '电力设备', '互感器技术']
摘要由CSDN通过智能技术生成

本文以Safengine Protector v2.3.x.0为例, 提供了一种C++代码快速恢复Safengine的Shadow DLL的方法, 没啥技术含量, 仅希望能给各位一点参考.


Shadow DLL是一种加密壳常见的反Hook/反下断方案, 工作原理简言之就是自行加载系统DLL, 并重定向受保护程序的API调用到相应处理过的Shadow DLL, 由此绕开了对原有系统DLL的调用, 阻止对系统DLL的下断和拦截. 详细请参阅半斤八两前辈的文章【原创】Kill Safengine Shadow Dll(附源码)

那如何恢复呢?上面那篇文章已经讲得非常清楚了, 本文只是补充了一点, 即快速恢复.

有时候我们只对特定的API感兴趣, 那么我们大可通过PE结构直接确定该API在物理文件中的位置(File Offset), HOOK NtReadFile拦截壳对系统DLL文件的读取, 接着在特定位置使用0xFF25 jmp到系统DLL, 完成恢复.

拦截部分, 我的做法是HOOK NtCreateFile, NtReadFile, NtClose以确定壳正在加载那个DLL, 这种方法感觉最为简单高效, 无须额外的API调用(仅仅HOOK NtReadFile你无法直接判断打开的是什么文件), 然后可能你还要记录读取的位置, 因为SE壳会分多次, 而不是一次性读入, 如果特定位置恰好在分块位置, 你就需要特殊处理.

下面附上由Export Name确定对应File Offset的方法, 可算是本文的核心代码:

static DWORD KiGetFileOffset(LPVOID lpBaseOfImage, LPCSTR lpTargetFuncName)
{
	auto lpNtHeader    = Rtl
最低0.47元/天 解锁文章
RLib
关注
专栏目录
Safengine Protector v1.8.0.0
05-16
【破解内容】 1. 查壳 PEID查壳:啥没看见! Die查壳:Delphi编译! ProtectionID:[!] Safengine Licensor v1.7.2.0 (or newer) detected ! 很牛!
Safengine Protector软件 提供强大的代码虚拟机保护您的程序免受逆向工程和非法修改.rar
12-04
Safengine Protector软件 提供强大的代码虚拟机保护您的程序免受逆向工程和非法修改
Safengine Shielden 2.4 - 强大一机一码加壳工具
最新发布
gitblog_09736的博客
09-06 662
Safengine Shielden 2.4 - 强大一机一码加壳工具 项目地址:https://gitcode.com/open-source-toolkit/87c6e 工具简介 Safengine Shielden 2.4 是一款高级的代码保护工具,专为需要加强软件安全性的开发者设计。本软件通过其强大的虚拟机保护机制,有效地抵御逆向工程分析及非法篡改,确保您的应用程序核心代码的安全。它采用了...
Safengine Protector 最新脱壳脚本
01-11
Safengine Protector 最新脱壳脚本
Safengine Shielden V2.1.2.0 简体中文免费版
11-13
Safengine Shielden V2.1.2.0 简体中文免费版经过我们检查,是无病毒软件,请放心使用。 Shielden是一款免费的软件加密方案:Shielden入门级加密,包含软件授权系统,关键代码混淆、虚拟化,运行时反调试等功能,将以代码虚拟机为主,授权功能为辅助,提供入门级的软件加密安全方案,将解决由于使用过时、破解的保护软件所带来的无服务、无保障、无更新等问题,为非盈利性的免费版和处于成长期的共享版提供知识产权保护、专业级的抗逆向分析功能,并由Safengine技术支持团队支持,为软件的未来发展提供整套安全方案。此外,Shielden包含部分Safengine Protector和Safengine Licensor的功能性演示,其保护强度虽然不能满足商业软件保护的应用,但您可以不花一分钱体验Safengine系列商业软件产品提供的专业保护功能。 Shielden入特点:Shielden将不对保护后的软件做任何功能限制,如弹出提示窗口、访问服务器等等,推翻传统免费加密软件有广告、后门的“潜规则”。
Safengine Protector脱壳脚本2021.txt
10-26
Safengine Protector脱壳脚本2021.txt
Safengine1.8破解版
03-08
Safengine1.8破解版,用于对可执行文件的保护加壳,以及加密试用,发布key等功能。 该工具仅供学习研究使用,下载后24小时内请删除,禁止用于一切有关商业活动,后果与本人无关。
一机一码加壳软件SafengineShielden2.4.rar
09-26
1.Safengine Protector 提供强大的代码虚拟机保护您的程序免受逆向工程和非法修改。同时提供了运行时保护,并与您的程序链接在一起,使得您的程序无法离开保护代码正常运行。 查看技术介绍 Safengine支持多种类型的文件格式: 所有Win32/64 PE文件,包括: 可执行文件 (*.exe) 屏幕保护程序 (*.scr) 动态链接库 (*.dll) ActiveX 控件 (*.ocx) 驱动程序 (*.sys) 2.里面有简单的教程。 3.生成一机一码。 4.暂时不支持NET的程序
Safengine Shielden v2.3.7.0 驱动脱壳
pureman_mega的博客
10-28 6164
前言: 之前找工作的时候,注意到有个公司找windows驱动开发/逆向工程师,所以他们公司产品里面应该包含有驱动程序(呐,必须的学习一波)。首先,安装他们公司的相关产品,然后找到里面的驱动文件;一看驱动文件几百k,应该是加壳了(Safengine Shielden v2.3.7.0)。如下图: 脱壳过程: 文件丢进ida里面发现没法看,脱壳当然是不会脱壳的。嗯,先把驱动跑起来吧。创建服务,启动服务;驱动成功跑起来了。驱动程序运行之后,对应的会有一些数据产生:1,通过winObj类似工具...
safengine keygen
01-17
机器码算号测试用,来源网络,试用完毕请24小时内删除。
Safengine Licensor 1.8.4加壳的程序的例子
11-15
这个其实是陈朝营博士的旋风三代的中国象棋引擎软件. 刚刚在北京理工大学的2010年人工智能竞赛中以不败战绩获得中国象棋类软件的冠军. 新旋风三代是中国象棋软件类的一流引擎这个是无疑的. 类似的应该还有佳佳象棋和象棋名手. 影响棋力大小的因素还有很多: 1.硬件配置; 2.开局库的设计; 3.引擎和硬件及开局库的匹配性; 4. 棋手的正确操作和应变; 5. 检验引擎之间的实力,比赛的局势也应该成百上千局, 局数太少则容易有人为的偶然性; 2010的冠军表明新旋风三代整体实力是一流的; 但并不是排除了其它一切可变因素的. 因此断定新旋风三代明显比其它棋软优秀是值得商榷的. 此处放这个作者公开
SE壳读取授权信息防止程序被破解
11-22
能有效的读取SE壳加入限制后的授权文件中的各项信息,可以根据读出的授权信息作为比较(可以和网络服务器验证等),防止破解。里面用的是VB,DLL是COM接口型,可以用任何程序调用,不过用VB调用最简单。这个插件自己开发的,有需要的可以提交BUG。
Shielden试用次数、天数破解专用工具
02-14
Shielden试用次数、天数破解专用工具
逆向破解程序脱壳篇-压缩壳
iqiqiya的博客
04-11 6325
一、普及What?壳所谓“壳”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。WHY?① 对程序专门进行...
文件加密:软件保护技术:加壳与脱壳
kunwen123的博客
11-06 1016
一般情况下,由于已有栈的内容是不应更改的,简单的壳会选择将这样的信息压入栈(在栈上开辟新的空间),x86的汇编指令 pushad 可以轻松地将所有寄存器一次性压入栈,UPX使用了这样的方式,被形象地称为“保护现场”。在程序的开始,可以看到和之前介绍的一样,壳加载的第一步就是对入口现场的保存,然后分别把UPX1的起始地址设置到esi寄存器,将UPX0的起始地址设置到edi寄存器。UPX用了一次跨段的转移指令,(远JMP,指令以E9开头),在跳至OEP的指令处可以看到虚拟地址的值有一个明显突变,
脱壳简单总结
weixin_45880501的博客
07-06 3335
title: 脱壳 date: 2021-07-05 14:37:06 tags: RE 脱壳 1.概述: 1.壳: 一:加壳的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 二:加壳软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: ​ 有一些版权信息需要保护起来,不想让别人随便改动 ​ 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ​ 给木马等软件加壳以避免杀毒软件 三:壳的加载过程: ​ 一般壳的装载过程: ​ (1)获取壳所需要使用的.
win7讲述人修复_Safengine Shielden v2.40 IAT修复及脚本编写(x64dbg)
weixin_31856441的博客
12-20 992
前言:首先感谢L4nce前辈写的“ 浅谈Safengine系列脱壳 ”,给了我很大帮助,让我开始入门脱加密壳。L4nce的这篇文章已经算是“巨人的肩膀”了,但我觉得仍有一些东西可以细写。由于是自己第一次研究脱壳写脚本,没有人指点,错误纰漏处还请指正包涵没看文章的务必先看看这篇文章 。其在 “浅谈Safengine系列脱壳”已经谈及的东西,这里就不细谈了,一笔带过。地址:浅谈Safengine...
safengine shielden(se)过时间限制补丁
01-05
Safengine Shielden(SE)是一种用于保护软件和应用程序安全的解决方案,它可以防止恶意软件和黑客攻击。时间限制补丁是指在软件中添加一定的时间限制,例如试用期限或者使用期限。使用Safengine Shielden(SE)可以有效地为软件添加时间限制补丁,并保护软件安全。 Safengine Shielden(SE)过时间限制补丁的过程通常包括以下几个步骤:首先,需要对要保护的软件进行分析和评估,找出软件中存在的安全漏洞和潜在的风险。然后,根据软件的特点和需求,制定合适的时间限制补丁方案。接下来,利用Safengine Shielden(SE)的功能和工具,为软件添加时间限制补丁并进行测试,确保补丁的稳定性和可靠性。最后,将添加了时间限制补丁的软件发布和部署到用户端,让用户可以安全地使用软件。 通过使用Safengine Shielden(SE)来过时间限制补丁,可以有效地保护软件的安全,并提供更好的用户体验。这样的解决方案可以为软件开发者和制造商提供更多的保障,确保他们的软件和应用程序在使用过程中不受到恶意攻击和非法修改的威胁。同时,也可以让用户在使用软件时更加放心和安心。 S用300字中文回答:safengine shielden(se)过时间限制补丁。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值