自动脱加密壳(导入表hash 花指令)

最新推荐文章于 2023-06-13 21:07:07 发布
最新推荐文章于 2023-06-13 21:07:07 发布
阅读量107 收藏
点赞数
原文链接:http://blog.51cto.com/haidragon/2120660
版权

这里是跟着上一篇
1。加密一定要自己申请空间 那就在申请空间那下 api 断点 单步退出函数就看了返回值给 eax 记下它返回时的地址 这里是 0x0047a37f
自动脱加密壳(导入表hash 花指令)
1。也一定会获取真正的 api 那就跟到获取地址那 记下它的地址 0x001614dc
由于地址会变 就记下相对地址同时是记它的下一条 所以偏移为 14E0
自动脱加密壳(导入表hash 花指令)
2。它一定会填充 IAT 那就跟到那 一样是下一条指令地址的偏移 所以为 0897
自动脱加密壳(导入表hash 花指令)
运行截图

自动脱加密壳(导入表hash 花指令)
自动脱加密壳(导入表hash 花指令)

VAR  vOldOEP
VAR  vAllocAddr
VAR  vWriteIATAddr
VAR  vGetAPIAddr
VAR  vTmp
MOV vOldOEP,0047148B  
MOV vAllocAddr, 0047A37F  
MOV vGetAPIAddr,  14E0       //获取地址时的下一条指令地址
MOV vWriteIATAddr,0897      //写入 IAT 指令的下一条指令地址
// 2. 对申请空间的地方下断,取出基址
// 3. 设置其他的断点,让程序跑起来,对每一个断点进行处理
BPHWC  // 清除硬件断点
BC    //清除所有断点 
BPHWS vOldOEP, "x" //当执行到此地址时产生中断.
BPHWS vAllocAddr, "x" //当执行到此地址时产生中断.
LOOP1:
RUN 
CMP vAllocAddr,eip
JNZ CASE1
ADD vGetAPIAddr,  eax
ADD vWriteIATAddr,eax 
BPHWS vGetAPIAddr, "x" //当执行到此地址时产生中断.
BPHWS vWriteIATAddr, "x" //当执行到此地址时产生中断.
JMP LOOP1
CASE1:
CMP vGetAPIAddr,eip
JNZ CASE2
MOV vTmp,edx
JMP LOOP1
CASE2:
CMP vWriteIATAddr,eip
JNZ CASE3
MOV [edx],vTmp
JMP LOOP1
CASE3:
MSG "到达OEP!"

转载于:https://blog.51cto.com/haidragon/2120660

weixin_34270865
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python接口自动化之通过RSA加解密
sadmin___的博客
03-31 1487
一、RSA算法加密简介 1、介绍 RSA加密算法是一种非对称加密算法,加密的秘钥是由公钥和私钥两部分组成秘钥对,公钥用来加密消息,私钥用来对消息进行解密,公钥是公开的,私钥则是用户自己保留的,由于公钥是公开的,那么任何人只要获取到公钥,都可以使用公钥来加密发送伪造内容。 出于安全性考虑,在发送消息之前我们可以使用RSA来签名,签名使用私钥来进行签名,使用公钥来进行验签,通过签名我们可以确保用户身份的唯一性,从而提高安全性 2、加密与签名的关系? 加密和签名都是为了安全性考虑,但略有不同。简单的说,
二.使用Openssl的库进行sha256加密
北辰之石的博客
07-06 8350
目录前言一、导入Openssl资源二、思路三、使用库2.读入数据总结 前言 本文介绍了如何使用openssl的库进行sha256开发,读者可拓展其他算法,方法类似。 一、导入Openssl资源 openssl作为开源项目,可以到官网获取源码,导入到自己的工程即可,我已经配置完成开发环境了,这里就不再赘述。具体可以查阅这篇博文 >> 北辰之石–Openssl的配置与编译. 二、思路 从目的出发,我们需要的只是调用openssl的库资源,至于怎么实现sha256算法应该不是现在需要考虑的,所以
PE导入-函数列-HASH
03-13
根据PE结构 获取导入 利用导入获取函数名列 根据函数名获取简单的HASH
导入哈希初见
最新发布
旻的博客
06-13 201
利用yara与pefile计算导入哈希
手动加密导入hash 指令
weixin_33699914的博客
05-26 179
1.载入 OD 发现esp定律就可以搞定找OEP看到了一个函数但od没有注释 可能加密先去函数地址下断函数出来了 说明oep没找错到这里那就去IAT下硬件写入断点重新运行程序下断成功这里就是IAT 填充函数了这里先讲下加密原理1。先遍历要加密的程序的IAT然后把一个个函数的名称计算下hash 把算出来的hash保存起来2。加密IAT3.运行程序时没有的情况下一般是加载器帮我们填充IAT 有程...
hash的创建,插入数据,查询数据(包含代码)
weixin_45695713的博客
08-29 1257
hash的创建,插入数据,查询数据(包含代码)
<黑客免杀攻防>第五章 指令与免杀 读书笔记
KD的疯狂实验室
11-04 1065
为了保护真正的果实,所以使用朵是别人迷惑.
Go语言对字符串进行MD5加密的方法
09-22
MD5是一种广泛使用的加密算法,它能够产生一个128位(16字节)的散列值(hash value),通常用一个32位的十六进制字符串示。MD5主要用于确保信息传输完整一致,如在数字签名中验证数据的完整性。由于MD5算法具有...
基于预加密检测算法的加密勒索软件早期检测方案研究-马来西亚泰勒
沙特国王大学学报基于预加密检测算法的加密勒索软件早期检测S.H. Kok,Azween Abdullah,NZ马来西亚泰勒阿提奇莱因福奥文章历史记录:收到2020年2020年6月3日修订2020年6月28日接受2020年7月4日在线保留字:Crypto ...
宇宙最强开源破解密码利器:Hashcat 第一篇
anquanfun的博客
03-10 2475
宇宙最强开源破解密码利器:Hashcat 第一篇 Hashcat介绍 Hashcat号称宇宙最强密码破解工具,其是一款开源软件,有针对Windows、Mac和Linux的版本,支持CPU、GPU、APU、DSP和FPGA等多种计算核心,支持多种hash散列算法,支持对rar、office、pdf、windows账户、wifi等多种密码的破解,本文以Windows 10系统下的Hashcat安装配置、具体密码破解方法和密码保护技巧等展开介绍。 安装配置 首先前往Hashcat官网下载软件包,我下载的版本为 v
指令总结1
lixiangminghate的专栏
01-10 3540
最近看了不少关于指令的博文,感觉大致了解插入指令的方法,此处加以总结记录。     本文参考资料: 1). Chap10_2 看雪论坛译  2). 3). 作者 罗聪 http://www.luocong.com/articles/show_article.asp?Article_ID=14 4).还有一些无法记录出处的博文     指令属于静态反调试技术,只是通过加入烟幕弹扰乱
指令的原理和常用指令收集
weixin_33728268的博客
05-03 810
指令的作用是对付静态分析,以下面一段程序说明一下指令的原理 代码 #include<iostream.h>#include<windows.h>voidmain(){_asm{jmpl2_EMIT0x1//这里就是指令_EMIT0x2//这里就是指令_EM...
鬼哥的一次简单实例(dex)实践
公众号shadow sock7
08-20 1267
http://note.youdao.com/noteshare?id=de7bed976d4ed1fd4d2d1e813984c6be
指令来袭
KD的疯狂实验室
04-24 1074
想起了...... 两类指令:1可执行指令2不可执行式指令
APK防护之DEX文件加
weixin_41508948的博客
08-08 1592
由于DEX文件中的数据以字节码的形式存在,所以很容易被反编译出源代码。那些反编译器(如dex2jar、apktool)是以顺序解释字节码来反编译的,如果遇到无效的字节码,便会反编译失败。DEX加的原理就是给DEX文件中加入无效的字节码,是反编译失败。但是要保证插入无效的字节码永远不会被执行到,否则自己的程序也会崩溃。 字节码,维基百科的解释:Java 字节码(英语:Java bytecode)...
抗去除指令(一)(二)(三)(四)
zhangmiaoping23的专栏
08-06 4821
标 题: 【原创】抗去除指令(一)(二)(三)(四) 作 者: yangbostar 时 间: 2011-02-18,19:24:16 链 接: http://bbs.pediy.com/showthread.php?t=129526 入门知识,高手勿读 一、概述      指令是对抗反汇编的有效手段之一,正常代码添加了指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错
哈希Hash Table)原理及其实现
热门推荐
I AM BACK
01-31 4万+
原理 介绍 哈希函数构造 冲突处理 举例 拉链法 hash索引跟B树索引的区别 实现原理介绍哈希Hash table,也叫散列), 是根据关键码值(Key value)而直接进行访问的数据结构。也就是说,它通过把关键码值映射到中一个位置来访问记录,以加快查找的速度。这个映射函数叫做散列函数,存放记录的数组叫做散列。哈希hash table(key,value) 的做法其实很简单,就是把K
指令
大宝(sodme)的专栏
02-16 5261
本文作者:sodme本文出处:http://blog.csdn.net/sodme声明:本文可以不经作者同意任意转载、复制、引用。但任何对本文的引用,均须注明本文的作者、出处以及本行声明信息。可能很多人都听说过指令,但限于平时的开发所限,可能较少接触到。日前,跟同事讨论了一些有关指令的问题,现将自己的体会总结一下。这篇文章将讨论以下问题:一、什么是指令?它的原理是什么?二、在什么地方使用
公钥加密HASH应用:CIW网络安全认证解析
"这篇内容是关于CIW网络安全认证培训中的第七讲——应用加密技术,主要讲解了加密技术的历史发展、密码学的重要阶段、各种加密方式,包括对称加密、非对称加密和哈希(HASH加密,以及公钥基础设施(PKI)在企业中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值