父子分离进程+ACP1.41脱壳

最新推荐文章于 2022-09-16 09:54:28 发布
最新推荐文章于 2022-09-16 09:54:28 发布
阅读量714 收藏
点赞数
分类专栏: 壳学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/10741369
版权

kerberos    监视 API操作


修复IAT时   如果 是004000 

新方法: 对指定IAT 假的地址  下硬件写入断点

重来 ctil+f2 F8到  出现函数的地址(或者函数名  )


softdefender    反API

kerberos监视 生成文件     在CreateProcess 之前的函数 断下

CreateProcess    创建一个进程   


ACP

对 .idata 对内存断点

单步跟踪会发现加密 输入表和 解密输入表   
将加密的代码NOP掉
当IAT 还原后
对代码段下断
断下   执行到DELPHI的第一个CALL  里
那么  搜索CALL XXXXXX
然后得到OEP
就可以dump下
修复 OEP  修复  输入表  地址,TLS 地址

ACP的  偷OEP代码:

mov  eax,[xx]

mov  eax,[xx]


ACP  代码替换  分析:

(默认处理IAT)

对 .idata 对内存断点


bphws 47440c,"x" // 47440c是内存写入断点到达的地方

esto

bphwc

mov [eip],#90909090#

mov [004744f6],#9090909090909090#

mov [0047459e],#9090909090909090#

//mov [00474695],#9090#

bphws 0044ca90,"x"

eso 

bphwc

DEPHI在末尾OEP 


pandamac
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACProtect 全系列脱壳
02-19
可脱以下系列的壳,从此ACP就此没落 -ACProtect 1.07, -ACProtect 1.09, -ACProtect 1.09c, -ACProtect 1.09e, -ACProtect 1.09g, -ACProtect 1.10, -ACProtect 1.21, -ACProtect 1.22, -ACProtect 1.22b, -ACProtect 1.23, -ACProtect 1.3? -ACProtect 1.32, -ACProtect 1.35a, -ACProtect 1.40, -ACProtect 1.41, -ACProtect 2.0 忘记说啦,失败可多点几次,他不是每次成功的,但是一定会成功,请多尝试几次
Linux操作系统: 进程控制
最新发布
TPON的博客
09-23 964
进程控制:写时拷贝,程序计数器,fork,退出码,exit,wait,waitpid,execl
wait和waitpid的区别和使用
qq_41181857的博客
06-26 1411
wait和waitpid函数是用来处理僵死进程的。他们有一些区别,用的时候老是忘,就打算做个实验测试一下。也供像我这样UNIX网络编程新手学习参考。 –>1、使用背景 –>2、函数原型 –>3、wait和waitpid区别 ========================================================================= –>1、使用背景 什么是僵死进程(zombie)? zombie的作用是维护子程序的信息,以便程序在以后能够调用它
【linux】进程控制——1
m0_62179366的博客
09-16 718
进程控制相关内容
启用守护进程使子进程进程完全分离
安卓世界库
01-27 2261
daemon模块, daemon是存放在raw目录下的elf文件,它是一个守护进程,保护应用不被杀死。daemon原理是fork出子进程之后,让子进程成为新的会话的领头进程,并与其进程的会话组和进程脱离,紧接着就是在子进程中定时去启动java层配置的任务。这里它保证PushCoreService和ChapingCoreService一直在后台运行
asp acp穿山甲等汇编语言脱壳脚本
07-14
标题提到的“asp acp穿山甲等汇编语言脱壳脚本”涉及到了几种特定的脱壳技术和工具,其中asp、acp以及“穿山甲”是关键概念。 ASP(AsPack)是一种著名的exe压缩器,它通过压缩代码和数据来减小可执行文件的大小,...
acp.rar_ACP
09-21
标题中的"acp.rar_ACP"表明这是一个与ACP(可能是“自动分类程序”或某种特定算法的缩写)相关的RAR压缩文件。描述提到这是一个用MATLAB编写的程序,用于实现ACP算法。MATLAB是一种强大的数学计算环境,常用于科学...
ACP BROCHURE.pdf
10-11
对特斯拉公司电机技术的前身,ACP-150进行产品规格书介绍。The Power Electronics Unit (PEU) houses the propulsion power inverter, the battery recharge electronics and power line filters,motor controls, ...
TL082ACP的技术参数
12-12
**TL082ACP概述** TL082ACP是一款双路运算放大器,设计用于在各种电子系统中提供高性能和高稳定性的信号处理。这款器件采用JFET(结场效应晶体管)输入级,提供了低输入偏置电流、高共模抑制比以及良好的线性特性,...
PMI-ACP术语表.pdf
07-07
PMI-ACP术语表.pdf
Linux应用编程和网络编程(5)------- 进程全解之父子进程
big_C的博客
05-15 1241
目录程序的开始和结束进程的引入 程序的开始和结束 1、程序的开始 (1)main函数由编译链接时的引导代码调用。操作系统下的应用程序其实在main执行前也需要先执行一段引导代码才能去执行main,我们写应用程序时不用考虑引导代码的问题,编译连接时(准确说是连接时)由链接器将编译器中事先准备好的引导代码给连接进去和我们的应用程序一起构成最终的可执行程序。 (2)运行时的加载器。加载器是操作系统中的程序,当我们去执行一个程序时(譬如./a.out,譬如代码中用exec族函数来运行)加载器负责将这个程序加载到内存
深入分析父子线程、进程终止顺序不同产生的结果
嵌入式学习之栏
08-12 902
讲到分离线程,先得从僵尸进程讲起(抱歉,确实不知道线程是否有僵尸一说)。关于僵尸进程:一般情况下进程终止的时候,和它相关的系统资源也并不是主动释放的,而是进入一种通常称为“僵尸”(zombie)的状态。它所占有的资源一直被系统保留,直到它的进程(如果它直接的进程先于它去世,那么它将被init进程所收养,这个时候init就是它的进程)显式地调用wait系列函数为其“收尸”。为了让进程尽快知道
linux子进程知道进程退出的解决方案
SweetTool的专栏
07-13 8505
在实际开发中难免会处理进程间的关系,最常见的是父子进程的相互监督。进程等待子进程,或者自进程知道进程运行是否结束,以方便释放资源。本文章提供了如何实现进程监听子进程结束的方案,以及子进程如何知道进程退出的方案。
父子进程间分发FD
chn475111的博客
08-23 783
int fd_pair(int fd[2]) { return socketpair(AF_UNIX, SOCK_DGRAM, 0, fd); } int fd_send(int sockfd, int fd, int type) { int data; struct iovec iov_data; struct msghdr msg_hdr; struc
Unix/Linux编程:进程进程间通信
OceanStar的博客
09-07 1725
前置知识 进程 什么是进程 一个程序的执行称为一个进程,所有的代码都是在进程中执行的。 进程也是操作系统进程资源分片的基本单位 进程是怎么产生的 Linux中,除了内核启动进程之外,其他的进程都是由它的进程产生的。【通过调用fork函数】 fork() 头文件: #include<unistd.h>/*#包含<unistd.h>*/ #include<sys/types.h>/*#包含<sys/types.h>*/ 函数原型: pid_
圣略咨询PMI-ACP敏捷模拟题解析与答案
本资源是一份针对PMI-ACP(Project Management Institute Agile Certified Practitioner,敏捷项目经理)认证的综合模拟题,主要针对敏捷项目管理理论和实践进行测试。内容涵盖了敏捷宣言、Scrum框架中的关键实践、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值