软件Software狗[Dongles]的加密和解密技术
此篇文章将从基础开始从了解软件Software狗工作原理到手工制作软件Software狗到介绍软件Software狗以前和现行保护措施其次是在现行基础上如何改进使其保护功能更加完善而后将从软件Software和硬件方面详细讲解软派和硬派高手是如何解密软件Software狗全文中我将引用大量例子以便您能够很好理解 本人不是做计算机专业所学知识非常浅薄只能边学习边请教并且只能利用业余时间完善此文章所... [阅读全文]
反跟踪:用时间差反跟踪
概述: 如果关掉中断不仅仅是键盘不动了时钟也不会走所以可以利用时间差来反跟踪具体思路方法是:先关掉中断, 再用当前时间作 key 加密在执行大堆指令后偷偷地再用当前时间解密, 如果为了解密跳过关中断指令, 时间就会变化, 解密结果就会不对然后...当然是死机啦 ! 汇编编程举例:code segment assume cs:code,ds:code org 100hstar... [阅读全文]
反跟踪:用指令预取反跟踪
概述: CPU 执行时并不是执行到哪句再到内存中去取那句而是先读入到 CPU Cache 中如果指令已经到了 Cache 中再将它修改也没有用了如果用跟踪话CPU Cache 中就不会是跟正常执行时指令相同所以可以改动下几条指令当然是故意改错如果没有跟踪还回照常执行有跟踪话那就... 汇编编程举例:code segment assume cs:code,ds:code ... [阅读全文]
softice:检测内存中的 Soft-Ice又一法
概述: 有 Soft-ICE 在内存中可不大好玩以下指令是检测 Soft-ICE 不要问为什么这些都是 Soft-ICE 自己检测自己用 汇编编程举例:code segment assume cs:code,ds:code org 100hstart: mov ax,0911h ;exit command mov dx,off d_exit m... [阅读全文]
脱壳工具:新版aspr脱壳思路方法(完全版)
新版ASPR加壳思路方法有了些变化,用工具是脱不了了,所以写了这个,给大家个简单解决方案. 用OD载入BP IsDebuggerPresent,F9,停了下来: 77E52740 64:A1 18000000 MOV EAX, DWORD PTR FS:[18] 77E52746 8B40 30 MOV EAX, DWORD PTR DS:[EAX+30] 77E52749 0... [阅读全文]
ipodshuffled:tElock v0.99 EGOiSTE/TMG shuffled
加壳方式:tElock v0.99 EGOiSTE//TMG shuffled 使用工具:SoftIce, LordPE, ImportREC 估计这个版本telock应该还算新而且里面包含椭圆曲线keygen想学椭圆曲线加密算法可以拿来研究下 用fi打开显示 tElock v0.99 EGOiSTE//TMG shuffled 启动si然后bp3运行会停在42E08C:.0042E084... [阅读全文]
脱壳工具:Magic Utilities 2003 脱壳手记 上
Fi3.01查得Pecompact v1.68-84加壳 首先用Peditor查看mgutil.exe区块信息: Section Virtual Size Virtual Off Raw Size Raw Off Characteristicspec1 000A1000 00001000 0003EA00 00000400 E0000020.rsrc 000C800... [阅读全文]
脱壳工具:Magic Utilities 2003 脱壳手记 下
上面001B:0056B372处又被花纠正下: :a 56b372 001B:0056B372 nop 001B:0056B373 : 得到:001B:0056B372 90 NOP001B:0056B373 6800400000 PUSH 00004000/* 这才是001B:0056B2FD处jz目地 */001B:0056B378 6A00 ... [阅读全文]
aspack2.12脱壳:手动脱壳的ASPack v1.083
4、ASPack v1.083 压缩文件: 下载 如 用TRW2000调试装载后下命令:psec就可中断到入口点为了提高跟踪水平下面以SOFTICE为例讲述跟踪过程 _________________________________________________________________________ 寻找入口点( Entry Po) 用Symbol Loader打开Not... [阅读全文]
upx脱壳:手动脱壳的UPX V1.01的壳
2、UPX V1.01壳 目标: 用 UPX V1.01压缩过 Notepad.exe 思路方法、使用TRW2000来脱壳 ★ 使用工具 TRW2000 FileInfo ★确定壳种 类 拿到这软件Software后可用工具FileInfo、gtw、TYP32等侦测文件类型工具来看看是何种软件Software压缩在这我们以FileInfo 为例把目标文件复制到FileInfo目录下... [阅读全文]
winlicense脱壳:用OLLYDBG给Win设置大师脱壳
Windows设置大师 2003 V2.0 Build 0420脱壳 应用平台: Win9x/NT/2000/XP 、DUMP:00601DD5 97 XCHG EAX,EDI00601DD6 ^ EB 87 JMP SHORT Windows?00601D5F00601DD8 AD LODS DWORD PTR DS:[ESI]00601DD9 93 XCHG EAX,EBX00601DDA... [阅读全文]
ollydbg:用OLLYDBG快速脱tElock V0.98的壳
现在ASPR都有脱壳机了tElock还没有还要手脱真是累直想找个较快思路方法呵 发现用OLLYDBG脱速度很快而且还是傻瓜式:-) 目标:**投注大师2003黄金版 工具:ollydbg1.09,winhex,loadpe,peditor. 、找入口点 用OLLYDBG找tElock入口点完全不用动脑跟我来: 1用OD载入目标先在OD调试设置中把异常卡中“INT3中断&rd... [阅读全文]
电脑入门的基础知识:脱壳基础知识入门
现在加解密发展己形成2个分支了个就是传统算法另个就是加密壳越来越多软件Software采用了密码学相关算法现在要做出个软件Software注册机己不象前几年那么容易这就要求解密者必须要有定数学功底和密码学知识而这些在短时间内是不容易掌握除了密码学应用越来越多软件Software加壳了因此要求解密者必须掌握些脱壳技术这就使得壳成了解密必须迈过个门槛壳发展到今天强度越来越高了将许多人挡在门外使得大家望... [阅读全文]
加壳工具:论壳和加壳技术
在这外壳风起云涌几年间出现了无数优秀外壳CoDe_inJect曾谈过对几种流行壳看法我斗胆结合他言论描述下现在常见保护外壳: ASProtect 无可争议外壳界老大它开创了壳新时代SEH和各种流行反跟踪技术、多态变形引擎使用(准确来说是从病毒中借用)、BPM断点清除等都出自于此;更为有名当属RSA算法使用使得DEMO版无法被破解成完整版;CodeDips也源于这里;输入表处理即使现在看来仍很强... [阅读全文]
脱壳技术:浅谈脱壳中的Dump技术
本文举例源代码或素材下载
前言: “知者不言言者不知” ----老子道德经 你会dump吗? 你还是只在OEP处dump吗? 你知道dump原理吗? 你遇到过anti-dump壳吗你知道如何对付它吗? 你明白几种dump工具优劣吗? 请原谅我开始就这么不识趣抛出了这几个无里头问题我记得龙应台说过:正我那时什么都不懂所以才会写下那些文字我也... [阅读全文]
电脑入门的基础知识:脱壳基础知识入门的重建输入表
在脱壳中输入表处理是很关键个环节因此要求脱壳者对PE格式中输入表概念非常清楚在磁盘文件中PE文件输入表结构如下图所示: " / 图8.1磁盘文件中输入表 PE文件运行时Windows系统加载器首先搜索OriginalFirstThunk如果存在装载迭代搜索中每个指针找到每个IMAGE_IMPORT_BY_NAME结构所指向输入地址然后用入口地址来替代由FirstThunk指向IMAGE_TH... [阅读全文]
脱壳工具:脱壳基础知识入门的Dump内存映像
外壳解压还原后就会跳到OEP处执行此时内存映像文件是己解压这时就可抓取内存映像文件了(该过程称为Dump)当然不定非要在原入口点抓取只要能保证内存映像文件是己还原就行了 继续上个例子notepad.upx.exe到OEP后就可以Dump取内存映像文件:004010CC 55 push ebp004010CD 8BEC mov ebp,esp004010CF 83EC4... [阅读全文]
脱壳工具:脱壳基础知识入门的用内存断点找OEP
1.前言 发现论坛中很多兄弟在询问:什么是 2次内存断点 3次内存断点还有很多人对内存断点原理不是很明白其实只要懂得壳是如何解压代码那么就完全可以按自己喜欢来下断 本文要解决问题是: 1.什么是内存断点? 2.如何在寻找OEP时使用内存断点 3.内存断点局限性 2.内存断点寻找OEP原理 i.首先在OD中内存断点硬件断点和普通断点(F2下断)是有本质区别硬件断点等效和SoftICE命... [阅读全文]
脱壳工具:脱壳基础知识入门的寻找OEP
般压缩壳如Aspack等都有专用脱壳机 而加密壳(如ASProtect,Armadillo)般很少有脱壳机必须手工脱壳手工脱壳般情况是分 3步:是查找真正入口点(OEP); 2是抓取内存映像文件; 3是输入表重建(当然现在加密壳复杂些要考虑更多东西) OEP是OriginalEntryPo缩写即加壳前真正入口点 外壳化现场环境(各寄存器值)和原现场环境是相同加壳化时保存各寄存器值外壳执行完毕会... [阅读全文]
脱壳工具:脱壳基础知识入门的文件类型分析
拿到个壳第步就是用相关工具分析下是什么壳然后就可心中有数地跟踪分析文件分析工具有PEIDFileInfo等 1.PEiD PEiDGUI界面操作非常方便直观它原理是利用查特征串搜索来完成识别工作各种开发语言都有固定启动代码部分利用这点就可识别出是何种语言编编译同样区别壳也有其特征码利用这点就可识别是被何种壳所加密PEiD提供了个扩展接口文件userdb.txt用户可以自定义些特征码这样就可识别... [阅读全文]
压缩壳:脱壳基础知识入门的常见压缩壳和加密壳
加壳软件Software按照其加壳目和作用可分为两类:是压缩(Packers) 2是保护(Protectors)压缩这类壳主要目是减小体积如ASPacK、UPX和PECompact等另类是保护用上了各种反跟踪技术保护不被调试、脱壳等其加壳后体积大小不是其考虑主要原因如ASProtect、Armadillo、EXECryptor等随着加壳技术发展这两类软件Software的间界线越来越模糊很多加壳软... [阅读全文]
脱壳工具:脱壳基础知识入门的认识壳
1.什么是壳? 在些计算机软件Software里也有段专门负责保护软件Software不被非法修改或反编译它们般都是先于运行拿到控制权然后完成它们保护软件Software任务由于这段和自然界壳在功能上有很多相同地方基于命名规则就把这样称为“壳”了 描述壳示意图: " / 2.壳加载过程 这里谈加壳工具不是WinZIP、WinRAR等数据压缩工具而是谈压缩可执行文... [阅读全文]
电脑入门的基础知识:脱壳基础知识入门的SEH技术
结构化异常处理(StructuredExceptionHandlingSEH)是Windows操作系统处理或异常技术SEH是Windows操作系统种系统机制和特定设计语言无关 外壳里大量地使用了SEH如果不了解SEH将会使你跟踪十分困难 由于Ollydbg 对SEH处理异常灵活因此脱壳用Ollydbg会大大提高效率 附CONTEXT结构环境:代码:typedefstruct_CONTEXT{... [阅读全文]
脱壳工具:脱壳基础知识入门的手动确定IAT的地址和大小
在第 8课中讲到点击ImportREC“IATAutoSearch”按钮般情况下ImportREC可以自动识别出IAT地址和大小但如果不能自动识别就必须手动确定IAT地址和大小然后将IATRVA和Size填进ImportREC点击“GetImport”按钮就可得到输入表 还是用上节例子演示用OD打开notepad.upx.exe来到OEP处: "... [阅读全文]
加壳工具:telock0.98加壳的notepad
telock0.98跟上本版本有些变化我是这样做! 用ti 0.2找OEP 用bpx GetModuleHandleA中断返回到程式邻空这恰好就是破坏Import Table地方:记下特征代码地址以下是用telock0.95加壳特征代码telock0.98也差不多017F:00576C16 8B95BEAF4000 MOV EDX,[EBP+0040AFBE]017F:00576C1C 8BB... [阅读全文]
加壳脱壳工具:tElock 0.98加壳的DLL脱壳
前言: 早在2000年10月就脱过用tElock 0.98加壳NotePad并好像在看雪论坛写过脱壳简要 最近有网友问tElock 0.98加壳DLL脱壳问题整理出篇文章希望对你有帮助 Liotta[BCG] 目标: 超星浏览器3.6.0.1210所带pdg2.dll(先用upx -d解压然后用tElock 0.98加壳) scouting... E:Program FilesSSRE... [阅读全文]
qunpack脱主程序壳:脱Flashfxp 1.4的壳
Flashfxp 1.4用fi查不出是加什么壳后来看到精品讨论汉化这个东西时候才知道用是telocktelock壳保护很强好像要比aspr麻烦我学脱这个还为时尚早不过早晚都要碰花了n个小时来搞定它特写此文让你觉得脱telock壳好像会很easy;-) unpack(2001.9.26) Flashfxp 1.4是用delphi写hoho运气真好:)更新下用快速寻找delphi入口思路方法(试过... [阅读全文]
幻影v1.5b破解应注意的地方
016F:005A6000 9C PUSHF016F:005A6001 55 PUSH EBP016F:005A6002 57 PUSH EDI016F:005A6003 56 PUSH ESI016F:005A6004 52 PUSH EDX016F:005A6005 51 PUSH ECX016F:005A6006 53 PUSH EBX016F:005A6007 9C PUSHF016F:0... [阅读全文]
翻译系统:环宇通汉英翻译系统3.0脱壳
环宇通汉英翻译系统3.0用LOCK98加壳这个壳相对来说还是很温和没有ANTI-DEBUG没有破坏输入表 简要说下 开始有很多SMC来还原代码很简单但比较长就不多说了遇到LOOP就G到它下面句只要有耐心通过他并不困难然后走到读密匙盘地方如下:0167:004E7C37 MOV BYTE [EBP+00433DE9],000167:004E7C3E MOV AL,010167:004E7C40 ... [阅读全文]
脱壳工具:aspr脱壳整理总结
aspr脱壳整理总结(部分适用于其他壳保护) 首先能用caspr脱尽量用它吧方便比手动脱要小caspr解决不了那就自己来吧 脱aspr壳基本上分4步如下: 1.寻找入口: (1)delphi: 快速寻找入口思路方法:执行用prodump选dump(full)脱壳,存为dump.exe接着用winhex打开dump.exe选择搜索文本填runtime,执行搜索搜到后,向前找到离runtim... [阅读全文]