来源:安全中国
最近练习脱壳将用98记事本用Armadillo 3.10加壳作试验52K --> 324K脱壳后文件大小达到了588K比脱壳前竟然大了10倍多于是想将的减肥查看雪精华没找到这方面内容正在学习PE文件结构于是自己动手试验下 先看看加壳前文件sections 建议装入地址: 0x00400000 ---------------------------------------------------------- 节区名称&nbs [阅读全文] [PDF]
脱壳高级篇
4、Import REConstructor使用
Import REConstructor可以从杂乱IAT中重建个新Import表(例如加壳软件Software等)它可以重建Import表描述符、IAT和所有ASCII名用它配合手动脱壳可以脱UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack, ASProtect等壳该工具位于:光盘\tools\PE tools\Rebuilders\Import REConstructor 在运行Import REConstructor的前必须满足如下条件: 1) 目标文件己完 [阅读全文] [PDF]
文章来源:安全中国
脱壳高级篇
3、IceDump和NticeDump使用
IceDump和NticeDump是款配合SoftICE扩展其内存操作工具IceDump支持Windows 9x、Windows Millennium系统NticeDump支持Windows NT/2000它们出现使SoftICE如虎添翼TRW2000许多特色功能在SoftICE里也可实现了
1.Icedump操作介绍 运行IceDump前首先要确定SoftICE版本号按Ctrl+D切换到SoftICE下命令:VER查看版本号然后在相应SoftICE版本号目录下运行icedump.exe文件它会自 [阅读全文] [PDF]
文章来源:安全中国
脱壳高级篇
2、Import表重建
标题:重建 PE 文件输入表
原著:TiTi/BLiZZARD
翻译:Sun Bird [CCG]
日期:2000年5月24日
1. 前言 =
大家好 :) 我的所以写这篇短文是由于我在 Dump 时发现很多加压、加密软件Software都使 得输入表(Import Table)不可用所以 Dump 出可执行文件必须要重建输入表而在普 通讲授 Win32 汇编站点上我没有找到这样介绍所以如果你对此感兴趣那么这篇 短文对你会有些帮助
例如为了让从内存中 Dump 出经 PETite v2.1 压缩过可执行文 [阅读全文] [PDF]
脱壳高级篇
1、认识Import表
著者: [yAtEs] [[email protected]] 译者:hying[CCG] 标题:PE输入表介绍说明 例子:下载 有很多介绍PE文件文章但是我打算写篇有关输入表文章它对于破解很有用 我想解释它最好思路方法是举个例子你可以跟着我逐步深入步步研究最后你将完全明白我选择了个我刚下载下来小它是用TASM编译有个比较小输入表所以我想它应该是个不错范例 [阅读全文] [PDF]
自动脱壳
4、Procdump中文介绍说明书
大家好!早两天放上了提高篇( 10 )后大家反应还不错不过对于些朋友来说 要想用好 Procdump1.50 可能还有点问题它 Script 介绍说明书是英文对于英文不是 太好朋友这就成为个很大问题了昨晚在白菜聊天室内我和 Ding Boy 等高手 起聊天 Ding Boy 就建议我把 Procdump1.50 介绍说明书翻译成中文方便广大朋友学习和使用 Procdump1.50 本着我不入地狱谁入地狱决心我就着手了翻译工作由于本人英文也 不是太好!所以在 Procdump1.50 Script 介 [阅读全文] [PDF]
自动脱壳
3、ProcDump应用文章 2
今天在吴朝相网页上看到篇由台湾 Peter’s 写有关脱壳文章里面提及到了 Procdump1.50 使用但由于所写内容比较地肤浅并没有交待到 Procdump1.50 强大的处同时由于最近在网上软件Software加壳的风日盛如果作为个 Cracker 不跟着时代走可 能在不久将来你就没有什么软件Software可以修改了所以定要在加脱思路方法下点苦功才行为此 小弟想把月来学习到脱壳技术 Post 出来让大家了解下在 Windows 上是如何进行软件Software脱 壳同时也想向大家介绍强大 Procdump1.50 是如何使用如何用它 [阅读全文] [PDF]
自动脱壳
2、ProcDump应用文章
注:本文作者PererS是台湾因此要注意在些名词上称呼和我们区别 由于此文写作时间较早在此推荐两个新版工具: 侦测工具:推荐FileInfo 脱壳工具:ProcDump32 v1.6.2 FINAL终结版本 (作者不升级了对目前新版压缩工具壳无效为了你对 Procdump有个认识在此提供较老版本ASPack压缩记事本供练习:下载)
标题:软体名称 中文哇!档案阅览器 2000 (Version 4.1) 保护思路方法 壳 需要工具 TYP( 侦测工具 ) & ProcDump 1.50( [阅读全文] [PDF]
文章来源:安全中国
手动脱壳
1、基本知识
手动脱壳就是不借助自动脱壳工具而是用动态调试工具SOFTICE或TRW2000来脱壳这课谈谈些入门方面知识如要了解更深脱壳知识请参考脱壳高级篇这课
工具
*调试器:SoftICE 、TRW2000 *内存抓取工具:Procdump等; *十 6进制工具:Hiew、UltraEdit、Hex Workshop等; *PE编辑工具: Procdump、PEditor等;
名词概念
★PE文件:Microsoft设计了种新文件格式Portable Executable File Format(即PE格式)该格式应用于所有基于W [阅读全文] [PDF]
文章来源:安全中国
手动脱壳
4、ASPack v1.083
压缩文件:下载
如用TRW2000调试装载后下命令:psec就可中断到入口点为了提高跟踪水平下面以SOFTICE为例讲述跟踪过程
_________________________________________________________________________
寻找入口点( Entry Po)
用Symbol Loader打开Notepad-ASPACK.exe点击Symbol loader第 2个图标("Load the currently open module" [阅读全文] [PDF]
文章来源:安全中国
手动脱壳
3、Shrinker v3.4 壳
英文原作: Etenal Bliss 电子邮件: [email protected] 作者网址: http://crackmes.cjb.net http://surf.to/crackmes 写作日期: 2000年2月25日 中文翻译: 冰毒 翻译日期: 2000年3月14日
目标: 用Shrinker v [阅读全文] [PDF]
2、UPX V1.01壳
目标: 用 UPX V1.01压缩过Notepad.exe
思路方法、使用TRW2000来脱壳
★使用工具
TRW2000 FileInfo
★确定壳种类
拿到这软件Software后可用工具FileInfo、gtw、TYP32等侦测文件类型工具来看看是何种软件Software压缩在这我们以FileInfo 为例把目标文件复制到FileInfo目录下在资源管理器下双击FileInfo再按回车你将看到报告出来:告诉你这是UPX1.01压缩软件Software
★入口点(Entry Po)确定
◇利用跟踪分析来确定入口点
决大多数 PE 加壳在被加 [阅读全文] [PDF]
手动脱壳
1、基本知识
手动脱壳就是不借助自动脱壳工具而是用动态调试工具SOFTICE或TRW2000来脱壳这课谈谈些入门方面知识如要了解更深脱壳知识请参考脱壳高级篇这课
工具
*调试器:SoftICE 、TRW2000 *内存抓取工具:Procdump等; *十 6进制工具:Hiew、UltraEdit、Hex Workshop等; *PE编辑工具: Procdump、PEditor等;
名词概念
★PE文件:Microsoft设计了种新文件格式Portable Executable File Format(即PE格式)该格式应用于所有基于Win32系统:Wind [阅读全文] [PDF]
要实现带壳软件Software直接打补丁需要些窍门技巧和运气虽然这看起来是很不容易实现其实并不象大家想那么难下面听我慢慢道来
要实现这种带壳补丁目当然你需要作充分前提条件:
过硬软件Software跟踪和分析能力你没有软件Software作者源码切都要靠自己动手;
简单代码编写能力当然是汇编代码可以借调试软件Software帮忙;
必备工具:PEiD、OllyDbg、W32DasM、文本编辑器(WinHex或UltraEdit或其它)、文件增肥工具(如:ZeroAdd)等;
任编程平台编写补丁用(和使用汉化补丁类似);
最简单加、减法运算(Icefire:这也算条?) [阅读全文] [PDF]
要实现带壳软件Software直接打补丁需要些窍门技巧和运气虽然这看起来是很不容易实现其实并不象大家想那么难下面听我慢慢道来要实现这种带壳补丁目当然你需要作充分前提条件:过硬软件Software跟踪和分析能力你没有软件Software作者源码切都要靠自己动手;简单代码编写能力当然是汇编代码可以借调试软件Software帮忙;必备工具:PEiD、OllyDbg、W32DasM、文本编辑器(WinHex或UltraEdit或其它)、文件增肥工具(如:ZeroAdd)等;任编程平台编写补丁用(和使用汉化补丁类似);最简单加、减法运算(Icefire:这也算条?)作为练习下面以 LS定时器为例看看如何 [阅读全文] [PDF]
版权声明: 本文没有版权,允许任意转贴和修改. 但如果只引用文中部分内容时,请最好注明原文出处,以表示对位Cracker同行劳动尊重. 使用工具: TRW2000 1.03 ProcDump 1.6.2 Hexworkshop 3.02 比起其Beta版来,AZPR 3.0正式版保护更为加强. 1. 对Softice多处Check,用FrogsICE不能完全骗过; 2. CRC校验; 3. 动态地址(好象是这个名吧?); 4.对Loader防范,这回用Process Patch不行了. 用Softice跟踪它会是种痛苦 (当然完全可以用Sof [阅读全文] [PDF]
脱壳高级篇
1、认识Import表
著者: [yAtEs] [[email protected]]
译者:hying[CCG]
标题:PE输入表说明
例子:下载
有很多介绍PE文件的文章,但是我打算写一篇关于输入表的文章,因为它对于破解很有用。
我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的,有一个比较小的输入表,所以我想它应该是个不错的范例。
好了,让我们开始吧。首先我们得找到输入表,它的地址放在PE文件头偏移80处,所以我们用1 [阅读全文] [PDF]
1 共17条 分1页
- bash命令:8个实用而有趣Bash命令提示行
- binarytreepoj:POJ 1145 Tree Summing
- poj1144:POJ 1144 Network
- mallocfree:浅谈C中的malloc和free
- primer:《C++ Primer》整理总结
- jmz002c:c/c++练习002
- Gtk+的布局(Layout) 一、垂直、水平布局
- 浮点数:浮点数按实际位数格式化显示的思路方法
- 如果排列的逆序数为:序数法求全排列
- vc6.0debug:VC6.0的Debug调试整理总结
- cpu占用率:让CPU占用率曲线听你指挥(转)
- krsrs8734001c:c/c++练习001
- completion:I/O completion port
- ddxtext:DDX_TEXT如何实现数据从Control控件到变量还是从变量到Control控件
- 《C++ Primer中文版》(第 4版)信息汇总( 6)
- 我的C实战(2):联合的妙用
- c语言继承:C++的继承
- 项目管理(project management)的 个人小结
- 服务器技术:服务器技术系列综述( 3)
- 服务器技术:服务器技术系列综述( 2)