softice:检测内存中的 Soft-Ice
概述: 检测内存中 Soft-Ice 又法不过这次用是在全部内存搜索 Soft-Ice 特征码来实现 汇编编程举例:; 加密思路方法: 检测 s-ice; 用 scas,cmps 等指令, s-ice 无法用; bpm 等断点检测到, 因此可用比较关键字; 来检测 s-ice 是否在内存中code segment assume cs:cod... [阅读全文]
如何检测CPU的主频
概述: 说到检测CPU速度般是测试在单位时间内运算指令条数但用这种思路方法有太大局限性由于受到很多原因影响准确度比较低特别是在Windows环境下你不知道在你外别占用了多少时间片其实在586及以上档次处理器中已经有了条专用指令来测试主频那就是 RDTSC指令意思是读取时间标记计数器(Read Time-Stamp Counter)Time-stamp counter 是处理器内部个64位MSR ... [阅读全文]
trw2000:SoftIC和TRW2000常见问题
Q:哪种调试工具支持USB键盘和鼠标? A:目前只有DriverStudioV2.6以上版本内置SoftICE支持因此如你想用TRW2000调试工具请再接个串口或PS/2接口鼠标 Q:哪种Softice支持WindowsXP? A:只有DriverStudioV2.7以上版本支持 Q:哪个版本SoftIce能运行在WinME系统? A:SoftIce4.05以上版本就可然后再安装Wini... [阅读全文]
破解软件Software一般技术问题
Q:ZIP和RAR的类密码能否用SOFTICE或TRW动态跟踪破解? A:不能WinZip和WinRAR是通过和CRC结合方式进行加密它们在解压时候会不管3721先把带上用户输入密码CRC放进解压流程中先解出来再说最后才进行原始CRC判定如果最后得到CRC和原来不样那就是解压失败CRC是不可逆推所以也没办法得到原始密码同时也把对比过程放在了最后所以才没办法用SoftICE等工具进行破解只能穷举(... [阅读全文]
olldbg:Olldbg常见问题
Q:OD中如何运行到光标所在处? A:将光标移到目标位置按F4.(SoftICE等价功能键是F7) Q:如何用OD修改可执行? A:直接在反汇编代码区更改,这时可以使用汇编代码更改,然后选中修改后汇编代码右击--复制到可执行文件--保存文件. Q:使用OD从内存区复制内存数据时候有时候无法将所有数据都复制到剪贴板 A:ALT+o打开调试选项选择“串”标签里面有个&... [阅读全文]
peexplorer1.9: PE文件格式 1.9版 完整译文(附注释)(1)
原著:Bernd.Luevelsmeyer 翻译:ah007 [注意:本译文所有大小标题序号都是译者添加以方便大家阅读圆圈内数字是注释编号其中注释②译自微软PECOFF规范标准其它译自网络----译者] 、前言(Preface) ------------------ PE(“portableexecutable”可移植可执行文件)文件... [阅读全文]
peexplorer1.9: PE文件格式 1.9版 完整译文(附注释)(2)
整理总结下:如果你想从“knurr”DLL中查找输入“foo”信息第步你先找到数据目录中IMAGE_DIRECTORY_ENTRY_IMPORT(输入目录项)项得到个RVA再在原始节数据中找到那个地址现在你就得到个IMAGE_IMPORT_DESCRIPTOR(输入描述结构)了通过查看根据它们“名称”被指向串得到和&ldquo... [阅读全文]
peexplorer1.9: PE文件格式 1.9版 完整译文(附注释)(3)
正如你所见我计划只用2个节个用于代码个用于所有剩余东西(数据、常量和输入目录等)没有重定位和象资源的类其它东西我也不用BSS节并将变量“written”放入已化数据文件和RAM中节对齐都是样(32字节);这将有助于使任务简单否则我就得来回地计算RVA很多次 现在我们设置数据目录开始于0xb8字节有0x80字节长: 地址 大小 00000000 000000... [阅读全文]
peexplorer1.9: PE文件格式 1.9版 完整译文(附注释)(4)
= |“PE文件格式”1.9版注释:| = ①Win32s和Win32 Win32s是“WIN32sub”缩写它是个可被加入到Windows3.1和WindowsforWorkgroups系统中以使它们能够运行32位应用软件Software包正如它名字所暗示那样Win32s只是Windows95和WindowsNT系统中使用Win32API个... [阅读全文]
pe文件格式:PE文件格式(1)
介绍说明:希望本文能够对初级入门CRACKER有定帮助翻译存在疏漏或者不准确希望来信指出感谢您指导!感谢看雪为我们提供这个交流平台让我们技术和时俱进!! 前言: PE("portableexecutable")文件格式是针对MSwindowsNT,windows95and win32s可执行 2进制代码(DLLsandprograms)在windowsNT内,驱动也是这个格式也可以用于对象文... [阅读全文]
pe文件格式:PE文件格式(2)
下面个成员是PhysicalAddress和VirtualSize32位联合体.在目标文件该地址是内容被重定位地址在可执行文件内是内容尺寸实际上该域好像没有被使用有链接器填入尺寸有链接器填入地址有链接器填入0 下个成员是VirtualAddress,32位保存当节数据加载入内存时RVA 然后是32位SizeOfRawData,是 4舍 5入到下个FileAlignment倍数大小 下个是Po... [阅读全文]
pe文件格式:PE文件格式(3)
ID意义依赖和在树内层次ID可能是个数字(高位清0)或者名字(高位置1)如果是名字低31位是从资源节原始数据开始到名字偏移量名字是16位长度以宽结尾不是0 如果在根目录下如果ID是数字是资源类型: 1:cursor 2:bitmap 3:icon 4:menu 5:dialog 6:table 7:fontdirectory 8:font 9:accelerators 10:... [阅读全文]
pe结构:PE结构各字段偏移参考
While there is a lot of data and various parts of the structure are at varying positions there are still a lot of useful fixed and relative offs that will help when disassembling/examining PE files. R... [阅读全文]
SEH in ASM 研究(一)
SEH出现已绝非日,但很多人可能还不彻底了解Seh运行机制;有关seh知识资料不是很多,asm级详细资料就更少!seh不仅可以简化处理,使你更加健壮,还被广泛应用于反跟踪以及加解密中,因此,了解seh非常必要, 但遗憾是有关seh详细介绍中文资料非常少,在实战基础上,把自己学习点笔记奉献给大家,希望对喜欢ASM朋友有所帮助.如有,请高手不吝指正. 、SEH背景知识 SEH("Structure... [阅读全文]
SEH IN ASM 研究( 2)
在实际设计过程中,不可能只有个异常处理例程,这就产生了异常处理嵌套问题,可能很多处理例程分别监视若干子并处理其中某种异常,另外个监视所有子可能产生共性异常,这作起来实际很容易,也方便调试.你只要依次建立异常处理框架就可以了. 有关VC异常处理可以嵌套很多人可能比较熟悉,用起来更容易不过实现比这里也就复杂得多,在VC 中个所有异常只指向个相同处理句例程,然后在这个处理例程里再实现对各个子异常处理例... [阅读全文]
structured:Structured Exception Handling
在所有Win32操作系统提供机制中使用最广泛未公开机制恐怕就要数结构化异常处理(structuredexceptionhandlingSEH)了提到结构化异常处理可能就会令人想起_try、_finally和_except的类词儿在任何本不错Win32书中都会有对SEH详细介绍甚至连Win32SDK里都对使用_try、_finally和_except进行结构化异常处理作了完整介绍既然有这么多地放都提... [阅读全文]
SEH 结构化异常处理(1)
[工具]flyod1.10 [目]学习SEH手法,另书中是用SoftICE调试,看起来不习惯.根据原文内容重新整理下,便于和我样菜鸟们起学习. 今天下决心,好好学习,这是就算是个开始吧!感觉学明白确很不容易! [注释]?--为不能理解地方,请大侠们指点下.学习过程中,有理解地方,肯请大侠们多多指教. [练习对象]加密和加密 2版第10章,光盘配套练习软件Software:seh.exese... [阅读全文]
SEH 结构化异常处理(2)
看堆栈:0012FCCC 0012FCD4 //指针,指向EXCEPTION_RECORD结构,即EXCEPTION_RECORD首地址-----这就是EXCEPTION_POINTERS0012FCD0 0012FCF0 //指针,指向EXCEPTION_CONTEXT结构,即EXCEPTION_CONTEXT首地址---0012FCD4 C0000005 ---------------1--异... [阅读全文]
寻找真正的入口(OEP)--广义ESP定律
1.前言 略…… 2.准备知识 在我们开始讨论ESP定律的前我先给你讲解下些简单汇编知识 1.call 这个命令是访问子个汇编基本指令也许你说这个我早就知道了!别急请继续看完 call真正意义是什么呢?我们可以这样来理解:1.向堆栈中压入下行地址;2.JMP到call子地址处例如:00401029 . E8DA240A00 call004A3508004... [阅读全文]
硬件调试:如何对抗硬件断点的一 --- 调试寄存器
1.前言 在我跨入ollydbg门时候就对ollydbg里面各种断点充满了疑问以前我总是不明白普通断点内存断点硬件断点有什么区别他们为什么有些时候不能混用他们原理是什么在学习了前辈们文章以后终于明白了些东西希望这篇文章能让你对硬件断点原理和使用有些帮助 2.正文 -------------------------------------------------- i.硬件断点原理 在寄存... [阅读全文]
softice:谈谈softice中d的使用方法(1)
所有cracker都使用过softice中d功能比如d eax来看eax指向内存中是什么 不过有些人可能不知道d功能远不止此 如果需要看看eax指向内存中其地址指向内存地址你会如何做?比如eax=493576你d 493576发现那里内存是1A22D23于是你再d 1A22D23发现里面放是你注册名那么如何次性地指向1A22D23呢? 无论在softice或者trw2000中都可以使用d *... [阅读全文]
softice:谈谈softice中d的使用方法(2)
016F:004B05DE WAIT016F:004B05DF FLD TWORD [EBP-12]016F:004B05E2 FLD TWORD [004B0674]016F:004B05E8 FMULP ST1016F:004B05EA FLD TWORD [004B0680]016F:004B05F0 FSUBP ST1016F:004B05F2 FSTP TWORD [EBP-12]016... [阅读全文]
powerstrip:破解PowerStrip 2.67
所用工具:Soft-ice405 Procdump1.6.2 Uedit32 前言: 这个软件Software用ASPack加壳采用keyfile保护因此我们先脱壳再破解 :) 1. 脱壳 软件Software用ASPack加壳我也不知道用是ASPack什么版本所以请先跟我起编辑 Procdump Script.ini 文件 在 Script.ini 文件中加上这些: P??=As... [阅读全文]
注册机原理:注册机破解法的原理以及应对思路方法
认识注册机破解法 顾名思义写注册机来破解软件Software注册思路方法就是模仿你注册码生成算法或者逆向注 册码验证算法而写出来和你模样注册机如果被写出注册机你软件Software只好免费了或者你必须更换算法但以前注过册合法用户都得被迫更换注册码了 上期和暴力破解过招思路方法虽然可以避免爆破但注册机威胁还是存在Cracker要写注册机必须详细研究你软件Software验证模块这必须先将你软件S... [阅读全文]
crackcode:用CRACKCODE做BadCopy99 v2.0注册器
强力拷贝软件Software可以将您无法读出光盘或软盘里文件尽可能复制出来尽量减少您损失经过试用效果确区别凡响原来更本无法读出几张光盘和软盘里文件几乎都完好无缺拷了出来强力推荐! CRACKCODE2000:[Options]CommandLine=BCopy99.exeMode=2First_Break_Address=4723A3First_Break_Address_Code=58Firs... [阅读全文]
asprotect:ASProtect的加密算法初步分析
原来ASProtect几个作用对保护强度提高不小改以前个人所见过壳重窍门技巧轻算法毛病确在有些方面值得学习 其利用原理如下: 1)在编程时可以根据需要选择使用ASProtect提供几个 比如:SetRegistrationKey(...),GetRegistrationInformation(...),GetHardwareID(...) 这几个由于使用了导出方式声明所以会在ExportT... [阅读全文]
regetjr去除广告条
目标:regetrj 组织:CCG,FCG 作者: BlueBoy 软件Software介绍说明:用于下载,FCGTest,去除它广告条 工具:soft-ice,wasm,UltraEdit 打开systemcd_cl.dll反汇编导入发现只有处GDI32.CreateCompatibleDC* Referenced by a CALL at Address:|:10012860:100... [阅读全文]
shrinker:怎样脱pklite32 Shrinker 3.4和NeoLite加的壳
脱壳----对用pklite32加壳进行手动脱壳 目标文件: pklite32w.exe 加壳方式: pklite32 所用工具: trw2000 v1.22 作者: iis / 属于梦醒时分[http://hacking.wofly.com] 1.用trw2000Loader加载加壳 2.按下f10,将停在下面地方0167:00607005 PUSH DWORD 00627F84 &... [阅读全文]
注册机编写器:注册机编写器介绍说明文件
这个注册机编写器以前直是我自己为写注册机而编写通过它只要略有汇编基础很快就能写出个注册机而不需要再过多了解指令算法 整个体实际上只是我用汇编写个模板所以大家也可以在其中自定义自己界面和提示信息可以用VC或BC等资源编辑工具自行修改key1.res资源文件但请不要修改它们对应ID号 在目录目录 EXAMPLE 下有个例子主要用来举例介绍说明这个使用(我先假设自己并不太懂Win32汇编) 通过... [阅读全文]
win32api:Win32 API 函数
限制功能 1、EnableMenuItem 允许、禁止或变灰指定菜单条目 2、EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰) 2、对话框 CreateDialog 从资源模板建立非模态对话窗 CreateDialogParam 从资源模板建立非模态对话窗 CreateDialogIndirect 从内存模板建立非模态对话窗... [阅读全文]