来源:安全中国这几天好像都看见有人问bjfnt 1.2壳如何脱,所以写了这篇文章,最新是1.3版,所以我在这里只讲1.3脱壳,我想1.2应该比1.3简单吧.当然这里有高手无数,只是他们没有时间写点东西出来,我就只有代劳了. 真是花指令无数,我总经验就是直F8,直到看到某个循环过不去了,然后停下来分析,在后面还有个大循环,我在里面转了10分钟才转出来,汗...,再次提醒各位,在这里面千万不要用F1... [阅读全文]

来源:安全中国1.0 前言 想想也好久没写过什么东西了没有花指令和反调试 所以比较简单就写个 1.1 寻找 IAT 首先用 OllyDbg 载入: 代码:-------------------------------------------------------------------------------- 01001000 60 PUSHA 0100100... [阅读全文]

来源:安全中国1. 主脱壳 014F:00990B35 8B10 MOV EDX,[EAX] 014F:00990B37 8B4508 MOV EAX,[EBP+08] 014F:00990B3A 035018 ADD EDX,[EAX+18] 014F:00990B3D 8B450... [阅读全文]

【脱文作者】 simonzh2000 【使用工具】 Ollydbg1.10, LordPE 【破解平台】 Win2000 Pro SP4 English 【软件Software名称】 用 Th2.517 加壳 Mole.exe 【作者声明】 本笔记只用于学习交流, 初学Crack只是感兴趣技术没有其他目, 如有不妥的处, 希望作者谅解. 学了 Da... [阅读全文]

1. 前言 大家好我的所以写这篇短文是由于我在 Dump 时发现很多加压、加密软件Software都使得输入表(Import Table)不可用所以 Dump 出可执行文件必须要重建输入表而在普通讲授 Win32 汇编站点上我没有找到这样介绍所以如果你对此感兴趣那么这篇短文对你会有些帮助 例如为了让从内存中 Dump 出经 PETite v2.1 压缩过可执行文件正常运行必须重建输入表(对于 AS... [阅读全文]

最近个月才接触壳这样东西虽然俺是个新手不过俺很努力也会脱很多软件Software壳下面就让我介绍下俺所知道各种脱壳思路方法！先介绍下脱壳基本知识吧！常见脱壳知识:1.PUSHAD (压栈) 代表入口点 2.POPAD (出栈) 代表出口点和PUSHAD想对应般找到这个OEP就在附近拉！ 3.OEP:入口点软件Software加壳就是隐藏了OEP(或者用了假OEP) 只要我们找到真正OEP就可... [阅读全文]

第步:先打开你要发布广告QQ聊天室窗口(腾讯规定个QQ可以打开 3个聊天窗口)最好是先用个QQ连续打开 3个窗口然后再使用另个QQ开另外窗口以此类推只要你电脑能够承受得了你可以打开N个窗口第 2步:双击打开“QQ聊天霸王”稍等会儿点击“进入”在消息列表下放细长条空白处写入你要发广告词然后回车第 3步:点选“QQ聊天室”在“消息间隔”内设置广告发布时间隔时间系统默认时间是75秒你可以任意修改时间注意... [阅读全文]

前 言 细细回忆,学习Crack技术已经快2个月了,期间我学会东西远比我以前任何年内学东西都多(专指计算机及系统了解情况) 说到学脱壳也是最近个月时间,开始总是到处询问学习脱壳思路方法,大多答案就是看雪老大书,谁也没有正面回答过.于是就自己摸索,略有点思路,老大们估计是认为理所当然,对于我们小菜来说还是说白了比较合适. 在这里我就班门弄斧回,其实主要也是帮助些朋友能更快摸到门,不至于对只会照猫... [阅读全文]

新版ASPR加壳思路方法有了些变化,用工具是脱不了了,所以写了这个,给大家个简单解决方案.　　　用OD载入BP IsDebuggerPresent,F9,停了下来:　77E52740 　64:A1 18000000　MOV　　EAX, DWORD PTR FS:[18]　77E52746　　8B40 30　　　　MOV　　EAX, DWORD PTR DS:[EAX+30]　77E52749　　0... [阅读全文]

Fi3.01查得Pecompact v1.68-84加壳　　首先用Peditor查看mgutil.exe区块信息: Section　 Virtual Size　Virtual Off　Raw Size　 Raw Off　Characteristicspec1　　　 000A1000　　　00001000　　　 0003EA00　　00000400　　　E0000020.rsrc　　　000C800... [阅读全文]

上面001B:0056B372处又被花纠正下:　 :a 56b372　 001B:0056B372 nop　 001B:0056B373　 :　 得到:001B:0056B372　90　　　　　　　　　NOP001B:0056B373　6800400000　　　　　PUSH　　　00004000/* 这才是001B:0056B2FD处jz目地 */001B:0056B378　6A00　　　　　　　... [阅读全文]

1.前言　　发现论坛中很多兄弟在询问:什么是 2次内存断点 3次内存断点还有很多人对内存断点原理不是很明白其实只要懂得壳是如何解压代码那么就完全可以按自己喜欢来下断　　本文要解决问题是:　　1.什么是内存断点？　　2.如何在寻找OEP时使用内存断点　　3.内存断点局限性　　2.内存断点寻找OEP原理　　i.首先在OD中内存断点硬件断点和普通断点(F2下断)是有本质区别硬件断点等效和SoftICE命... [阅读全文]

般压缩壳如Aspack等都有专用脱壳机　而加密壳(如ASProtect,Armadillo)般很少有脱壳机必须手工脱壳手工脱壳般情况是分 3步:是查找真正入口点(OEP)； 2是抓取内存映像文件； 3是输入表重建(当然现在加密壳复杂些要考虑更多东西)　　OEP是OriginalEntryPo缩写即加壳前真正入口点　　外壳化现场环境(各寄存器值)和原现场环境是相同加壳化时保存各寄存器值外壳执行完毕会... [阅读全文]

拿到个壳第步就是用相关工具分析下是什么壳然后就可心中有数地跟踪分析文件分析工具有PEIDFileInfo等　　1.PEiD　　PEiDGUI界面操作非常方便直观它原理是利用查特征串搜索来完成识别工作各种开发语言都有固定启动代码部分利用这点就可识别出是何种语言编编译同样区别壳也有其特征码利用这点就可识别是被何种壳所加密PEiD提供了个扩展接口文件userdb.txt用户可以自定义些特征码这样就可识别... [阅读全文]

1.什么是壳？　　在些计算机软件Software里也有段专门负责保护软件Software不被非法修改或反编译它们般都是先于运行拿到控制权然后完成它们保护软件Software任务由于这段和自然界壳在功能上有很多相同地方基于命名规则就把这样称为“壳”了　　描述壳示意图:　　" /　　2.壳加载过程　　这里谈加壳工具不是WinZIP、WinRAR等数据压缩工具而是谈压缩可执行文... [阅读全文]

在第 8课中讲到点击ImportREC“IATAutoSearch”按钮般情况下ImportREC可以自动识别出IAT地址和大小但如果不能自动识别就必须手动确定IAT地址和大小然后将IATRVA和Size填进ImportREC点击“GetImport”按钮就可得到输入表　　还是用上节例子演示用OD打开notepad.upx.exe来到OEP处:　　"... [阅读全文]

aspr脱壳整理总结(部分适用于其他壳保护)　　首先能用caspr脱尽量用它吧方便比手动脱要小caspr解决不了那就自己来吧　　脱aspr壳基本上分4步如下:　　1.寻找入口:　　(1)delphi:　　快速寻找入口思路方法:执行用prodump选dump(full)脱壳,存为dump.exe接着用winhex打开dump.exe选择搜索文本填runtime,执行搜索搜到后,向前找到离runtim... [阅读全文]

这几天好像都 看见有人问bjfnt 1.2壳如何脱,所以写了这篇文章,最新是1.3版,所以我在这里只讲1.3脱壳,我想1.2应该比1.3简单吧.当然这里有高手无数,只是他们没有时间写点东西出来,我就只有代劳了.　　真是花指令无数,我总经验就是直F8,直到看到某个循环过不去了,然后停下来分析,在后面还有个大循环,我在里面转了10分钟才转出来,汗...,再次提醒各位,在这里面千万不要用F10,都是花指... [阅读全文]

使用工具: loader、TRW2000、superbpm、Import REConstructor v1.4.2+　　　这个软件Software同样是在汉化新世纪论坛上有朋友要我水平太烂搞了好半天才搞定了脱壳:)　　　脱壳过程:　　　.找入口点　　　用 fs0 大哥 loader 载入软件Software主几秒钟后 loader 会告诉你 OEP 是 0043835E　　　 2.TRW 初步脱壳... [阅读全文]

我写这篇东西主要目是让初到本站新手们能对“壳”有个大概认识知道我每天说了些什么限于本人知识如果有 ERROR 的处还请多原谅如果你觉得还可以 也欢迎转贴但请保留文章完整性和作者资料当然如果你想把它发表硬塞些稿费给 俺花花我也不会拒绝　　　作为个以“壳”为主站台如果连访者连什么是“壳”都不清楚话那我也太失败了很早以前就想写编完全... [阅读全文]

1、基本知识　　手动脱壳就是不借助自动脱壳工具而是用动态调试工具SOFTICE或TRW2000来脱壳这课谈谈些入门方面知识如要了解更深脱壳知识请参考脱壳高级篇这课　　工具　　*调试器:SoftICE 、TRW2000　　*内存抓取工具:Procdump等；　　*十 6进制工具:Hiew、UltraEdit、Hex Workshop等；　　*PE编辑工具: Procdump、PEditor等；　　名... [阅读全文]

1、ASProtect v0.95保护 　　教程写作: 看雪　　大小:Showdep.exe 为177K　　使用工具:Softice 4.05; ProcDump 1.6.2 Final; FrogsICE v0.43；Icedump 6.016　　首先忠心感谢D.boy 和RuFeng热心帮助是在他们帮助下我才对PE文件有定程度了解我把从他们那里吸取经验整理总结了篇文章希望对大家有所帮助为了使初... [阅读全文]

1、先装载Icedump　　在这用Icedump 6.016版本其命令操作形式完全和以前版本区别先在Icedump目录里运行相应SOFTICE版本icedump.exe(我用SOFTICE是4.05版因此在win9x/405目录下运行icedump.exe)如Icedump装载成功Icedump会返回如下信息: icedump v6.0.1.6 for winice v4.05 loaderice... [阅读全文]

telock用fi查不出所以如何判断是telock壳凭ImportRECf导出it结果吧乱 7 8糟那种差不多就是了初解telock壳会感觉比较难不过看了2个以后就不觉得有多难了当然我略过了手动找入口步骤寻找入口还是脱壳关键所在也是难点　　用ShadowSecurityScaner Ver3.37举个例子吧讲时候会比较方便　　1.寻找入口:　　(1)delphi:　　快速寻找入口思路方法:执行接着... [阅读全文]

1、找OEP:　　仍然是BPX VirtualProtectEx中断下来后再手动跳过几个SEH就和旧版本样直接到达OEP参看精华区中有关旧版本脱壳文章　　2、从内存中dump IT:　　先找准IT起始位置般就是.idata段起始处找IT其它思路方法参看精华区假定找到位置为XXXXXXXX然后“bpx VirtualAlloc do "dd XXXXXXXX"每次中断后注意看数据区中内容... [阅读全文]

asprotect版本多升级快每次小小升级都足以使以前脱壳思路方法或工具失效没有种自动脱壳工具是万能这里是caspr作者SAC/UG2000对asprotect评价:　　ASProtect是个非常强大win32保护工具它拥有压缩(compression)、加密(encryption)、反跟踪代码(anti-debugging code)、反-反汇编代码(anti-disassembler code... [阅读全文]

脱壳目标就是EZIP本身　　用TRW载入 按两下F10后来到外壳部分代码段:　　017F:004582DC INT3017F:004582DD MOV EBP,ESP /TRW光条停在这里017F:004582DF SUB EBP,0428017F:004582E5 PUSH EBX017F:004582E6 PUSH ESI017F:004582E7 PUSH EDI017F:004582E8 ... [阅读全文]

这个壳比EZIP1.0壳稍微复杂点 循环比较多 而且左跳右跳 很容易让Cracker迷失方向 不过只要有信心在关键处下好断点 认真仔细跟踪 我相信你也定可以搞定它 ^_^ 好了不废话 开始吧　　这次试验品是个使用汇编编写 很多人都喜欢用NOTEPAD当作实验品 加壳后再脱壳 但是我比较喜欢使用汇编编写　　汇编编写非常好判断是否为真正入口点 看到 COMMANDLINEA 就证明你到了～～～用TRW... [阅读全文]