180216 加密-专用加密软件(2)

最新推荐文章于 2019-03-29 01:11:02 发布
最新推荐文章于 2019-03-29 01:11:02 发布
阅读量286 收藏
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79643969
版权

1625-5 王子昂 总结《2018年2月16日》 【连续第504天总结】
A. 专用加密软件(2)
B.

加密壳

加密壳种类较多,不同的壳侧重点不同
有的壳单纯保护程序,有的壳则还有附加功能,例如提供注册机制,使用次数,时间限制等

值得注意的是,越是有名的加密壳,研究的人也越多,因此被针对破解的可能性也就越大

常见的加密壳有

  • ASProtect
  • Armadillo
  • EXECryptor
  • Themida
ASProtect

ASP是款很经典的壳,拥有压缩、加密、反跟踪、CRC校验和花指令等保护措施。使用了Blowfish、Twofish、TEA等加密算法,还用RSA1024作为注册密钥生成器。
它通过API钩子与子程序进行通信,并且ASProtect为软件开发人员提供SDK,实现加密程序内外结合。

ASP注重兼容性和稳定性,因此没有采用过多的反调试策略。

目前有两个系列:ASProtect 1.3x和ASProtect SDK 2.x
后者采用了部分虚拟机技术,主要是在EntryPoint和SDK上

Armadillo

又叫穿山甲,是一款应用面较广的商业保护软件
它有很多保护功能:
Nanomites、Import Table Elimination、Stratcgic Code Splicing、Memory-Patching Protections等

最强大的是Nanomites
使用时在程序中加入NANOBEGIN和NANOEND标签的定义,被括住的代码会被Armadillo扫描,处理中间的所有跳转指令,将所有跳转指令换成INT3
运行时会起双进程,父进程为Armadillo的控制器,子进程遇到INT3异常时由父进程截获,计算出跳转指令的目标地址并反馈给子进程,子进程继续运行

由于INT3的机器码是0xCC,因此也叫这种保护为CC保护

《逆向工程核心原理》中提到过这种保护,破解的方法为模拟父进程进行计算,通过脚本得到所有跳转地址,然后再Patch回去
另一方面由于一个进程只能被一个进程附加调试,因此调试器无法调试子进程,很难得到父进程的计算过程

C.明日计划
专用加密软件

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入及Pangolin(穿山甲)学习(第一次接触并了解,内容缘自百度,未实践)
Zlatanyiming的博客
10-14 7184
SQL注入及Pangolin(穿山甲)学习
【配置方法】在VS2019中armadillo库的配置方法
m0_67226014的博客
04-21 331
3.在项目--属性--c/c++--常规--附加包含目录-添加F:\KuGou\guge\。4.在项目--属性--链接器--常规--附加库目录中添加F:\KuGou\guge\a。5.在项目--属性--链接器--输入--附加依赖项中添加F:\KuGou\guge\。2.在项目--属性--配置属性--调试--工作目录中添加F:\KuGou\guge\。这个方法不唯一,我查了很多方法,都是不一样的,所以这个无效的话再用用别的方法。这个文件是在解压包里的(解压包我是存在F盘里了)1.在VS中建立一个空工程文件。
Armadillo4.4穿山甲加密教程(详细图文)
A1200266的博客
05-02 5241
好了,废话不多说,我们上图,下面上传的12张图详细介绍了加密过程,我这里就不再打字了! 好了,以上就是本教程,详细吧,希望想学习穿上甲加密的朋友喜欢,在这里希望管理员能帮我设置为优秀或者精华帖子,让我能转为正式会员,谢谢了!
了解Armadillo
asong14437546的专栏
01-06 1028
2008-07-17 08:32转自http://hi.baidu.com/lcrackl/blog/item/ce8412947397010e7af48012.htmlDebug-Blocker                                            阻止调试器CopyMem-II                             
卫士通加密装置管理软件SJJ1632-B
最新发布
05-13
卫士通加密装置管理软件SJJ1632-B
ABB机器人程序加密软件
12-27
2. **加密过程**:使用ABB提供的专用加密软件,用户可以将准备好的程序导入到软件中。软件会通过特定的算法对程序进行编码,使得原始代码变得难以理解和解析,形成加密后的程序文件。 3. **密钥生成**:加密过程中...
欧姆龙PLC加密软件CP1E
01-19
欧姆龙PLC加密软件是针对欧姆龙公司的CP1E系列可编程控制器设计的一款专用加密工具。在工业自动化领域,PLC(Programmable Logic Controller)被广泛应用于设备控制和生产线管理,而欧姆龙作为全球知名的自动化技术...
加密视频播放器】-视频加密
10-13
加密视频播放器】是一种专为保护视频内容安全而设计的软件工具,它结合了视频加密和播放功能,确保只有授权用户才能访问和播放特定的视频文件。在当今数字化时代,内容创作者和教育机构越来越关注如何保护他们的...
金盾视频加密软件2023免费版
06-19
基于新一代视频加密技术,更高安全性、支持Win7、WIN8、Win10;支持各种视频的高速编码加密与播放;可以加密各种视频音频格式文件(wmv, avi, asf, mpg, rm, rmvb, mp4, flv, mp3, vob, mov, mkv, mpeg, dat等等其他...
脱壳工具大汇总
樱*夜精灵
02-18 7672
脱壳工具 文件类型侦测工具 peid 0.94 现在软件越来越多的加壳了,给破解带来非常大的不便,用这个软件可以检测出常见的各种壳,非常方便。更新签名库及部分插件。2008/1/1 DIE 0.64 另一款文件工具   http://hellspawn.nm.ru FileInfo v3.01r F
Armadillo常用资料备查
weixin_33809981的博客
03-22 230
Armadillo是C++线性代数库 类型 矩阵 Mat<type>, mat and cx_mat  列向量 Col<type>, colvec and vec  行向量 Row<type>, rowvec  三维矩阵 Cube<type>, cube   结构体 field<object type> 挺像matl...
C++调用Armadillo计算库
Taosy
08-16 7346
1. 下载压缩包,解压到目录,比如D:\ALGLIB\armadillo,只保留include文件夹和examples里的lib_win32文件夹即可; 下载地址:http://arma.sourceforge.net/download.html; 2. 配置项目 将blas_win32_MT.dll和lapack_win32_MT.dll文件拷贝到exe根目录。...
加密视频解密过程
热门推荐
一点一滴一昆仑
12-25 4万+
视频共享、交互是互联网时代的具体表现,在线学习视频是现在人的生活方式,我们需要下载很多视频进行学习,但是很多优质的视频资源都进行了加密保护,当你发现下载的视频提示你需要输入播放密码的时候,点击视频不能播放,的确是很郁闷,那加密视频如何破解?有播放密码的视频如何破解呢? 一:工具 OllyICE v2.01b 看雪专版修正版 PEiD 0.94优化版 1.本次经验主要针对飓风加...
190328 逆向-浅谈反调试
whklhhhh的博客
03-29 2万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
190319 逆向-花指令
whklhhhh的博客
03-20 4862
以前也接触过简单的花指令,基本上就是jz/jnz式的固定跳转 前几天的某比赛中出现了一个相对而言比较复杂的花指令,参考pizza的笔记开始一阵学习XD 前言 花指令指的是没有卵用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 广义上来说OLLVM、VMP一类的代码改变型混淆也属于花指令,本文所指的是指会干扰反汇编、影响机器码解析但不影响正常机器码的字节。 原理 产生花指令的根本原因是x86指...
180517 逆向-反控制流平坦化(符号执行脚本)
whklhhhh的博客
05-17 4784
控制流平坦化的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转 正常流程如下 经混淆后的流程如下 破坏了代码块之间的关系后,整个程序的逻辑将很难辨认 符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系 由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了 符号执行反...
180316 逆向-反调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2114
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 反调试技术(9) B. 防止调试器附加 R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值