调用子程序:实现调用加壳的外壳中的子程序的一点见解
加壳往往是实现对原PE节数据加密、压缩若能加壳同时让加壳后壳中某些子那加壳强度大大增加这样处理后即使脱掉了壳执行也肯定不正常脱壳同时也将这些子脱掉了! 怎样实现呢?作为探讨性介绍还是搞个最基本来说(假设现在您已经会写PE-exe、PE-dll等PE加壳): 我实现是这样:作为个PE文件多多少少中会有mov eax,1或mov eax,0语句就是从这里开刀mov eax,xxxxxxxx这样指令... [阅读全文]
加壳工具:找TELock加壳的Import Table的思路方法
目:在内存中将FlashFXP未被破坏IT完整地提取出来(至于找TELockOEP、修复思路方法等zombieys、hying、liotta已经讲得很详细了) 第步:找到IT位置 找IT自然要依赖于IT结构特征IT是个中每个元素是如下个结构(# winnt.h)对应着引入个DLL:typedef struct _IMAGE_IMPORT_DESCRIPTOR {union {DWORD Cha... [阅读全文]
脱壳工具:telock脱壳整理总结
telock用fi查不出所以如何判断是telock壳凭ImportRECf导出it结果吧乱 7 8糟那种差不多就是了初解telock壳会感觉比较难不过看了2个以后就不觉得有多难了当然我略过了手动找入口步骤寻找入口还是脱壳关键所在也是难点 用ShadowSecurityScaner Ver3.37举个例子吧讲时候会比较方便 1.寻找入口: (1)delphi: 快速寻找入口思路方法:执行接着... [阅读全文]
脱壳工具:NT下的tELock 0.90手动脱壳
1、找OEP: 仍然是BPX VirtualProtectEx中断下来后再手动跳过几个SEH就和旧版本样直接到达OEP参看精华区中有关旧版本脱壳文章 2、从内存中dump IT: 先找准IT起始位置般就是.idata段起始处找IT其它思路方法参看精华区假定找到位置为XXXXXXXX然后“bpx VirtualAlloc do "dd XXXXXXXX"每次中断后注意看数据区中内容... [阅读全文]
天然码输入法:脱壳教程---天然码输入法的(1)
目标软件Software:天然码输入法(对应小球兄昨天帖子) 目标文件:trm32.ime;getdiskserial.exe 加壳方式:UPX 1.03 使用工具:trw2000 Procdump peditor Imprec 1.3 URL: http://www.chinatrm.com/download/file/suggest/up.exe 本文作者:leo_cyl 加... [阅读全文]
天然码输入法:脱壳教程---天然码输入法的(2)
用dump出trm32.ime替换原来文件再次运行输入法管理器选天然码点“属性”将弹出MESSAGEBOX说没有指纹盘或disk serial不对control-n激活trw2k“pmodule”“确定”后回到trw2k::00401514 89442410 mov dword ptr [esp+10], eax:004015... [阅读全文]
天然码输入法:脱壳教程---天然码输入法的(3)
进入:10001FD9 处call 10008000::10008038 894C2450 mov dword ptr [esp+50], ecx:1000803C 89542410 mov dword ptr [esp+10], edx:10008040 89442420 mov dword ptr [esp+20], eax:10008044 894C2454 mov dword ptr [e... [阅读全文]
aspack:脱Aspack的壳
工具 : softice, trw2000, procdump 前言 : 这个 netterm1.exe 被我用 aspack2000 加壳了,我是要练习脱壳...所以我就随便选个来加壳奇怪是, procdump 1.62 应该是可以脱掉 aspack2000但是我试了下,好像脱不掉... 不管,反正现在加壳的风以日渐盛行,若不会脱壳,是不行.有看过我上篇教学吗 ? 是有关於脱掉 aspa... [阅读全文]
pecompact脱壳机:对PECompact v1.34的手动脱壳(1)
使用工具:SoftICE 4.00; ProcDump 1.6.2; IceDump 6.0.1.5; HexWorkShop; (补充句:以下Import table我称作输入表可能说法不规范标准不过我打习惯了大家原谅下) (注:以下文中数字为十 6进制) 分析: 运行ProcDump,点击Pe-Editor按钮选中PECompact.exe得到内存映象大小:Size of Image为... [阅读全文]
pecompact脱壳机:对PECompact v1.34的手动脱壳(2)
现在我们来保存输入表下指令 PAGEIN D 40D000 C40 C:\TEMP\DUMP.BIN 现在再来确定真正Entry Po 1、这里我为了省事干脆 BD * 禁止所有中断然后按F5运行重新在SoftICELoader中单击Load按钮运行(当然这种思路方法在对PECompact.exe脱壳中可以用其他就不定了)又中断在第条指令窗口显示如下:015F:0041E800 EB06... [阅读全文]
procdump:Procdump脱PECompact 1.4 beta6
本人对PE文件结构也不是很了解! 1、如果你和我样使用s3早期显卡那么你需要安装sdd v6.53或者 sdd v7.0 alpha3 2、运行天意test如果你显卡支持话会生成个Trackit.dat 文件! 3、我们这次脱PE Compact 1.4 beta6壳用天意脱这个软件Software壳 用天意似乎比trw2000更快来到关键处! 4、此篇文章由于我水平有限无法涉及让他... [阅读全文]
脱壳工具:脱壳工具下载及专用脱壳工具下载
文件类型侦测工具 peid 0.94 现在软件Software越来越多加壳了给破解带来非常大不便用这个软件Software可以检测出常见各种壳非常方便2005/10/5 插件 Add Signature 1.03 FileInfo v3.01rFileInfo_v4.01 经分析FI是各类查壳工具中性能最强但 由于其长时间没更新其识别文件数据库比较旧了己不能识别各种新壳了 ... [阅读全文]
软件Software破解技术文档
名 称 作 者 说 明 微软官方提供PECOFF规范标准(英文) 微软 Microsoft Portable Executable and Common Object File Format SpecicationRevision 8.0 - May 16, 2006http://www.microsoft.com/whdc/system/platform/firmware/PECOF... [阅读全文]
盗版软件:盗版不是软件Software的致命伤
我们些国产软件Software包括相当多有良好前途应用软件Software出于急于回收投资或者其它方面考虑往往在软件Software推出时候把价钱定得很高而且采取了比较高级“加密技术”以防止软件Software被盗版可是他们忽略了当他们软件Software被破解的后价钱比较低廉使用者必然会大增从而加大该软件Software市场使用率而且破解软件Software在使用过程中或... [阅读全文]
WareZ组织揭密:他们是盗版的罪魁祸首吗?
如果我们破解关注问题就经常能够看到些类似消息说美国联邦调查局联合加拿大、英国、澳大利亚等国警方捣毁了个叫做“WareZ”跨国盗版组织逮捕了不少人很多是电脑从业人员和大学生收缴了大量电脑和无数资料通常这类报道中还会解释说这个“WareZ”不仅破解电脑软件Software和电脑游戏还贩卖DVD光盘是盗版主要来源 WareZ名字:软件Software和... [阅读全文]
攻壳机动队2.0:脱Insta3D version 2.0(Vbox420)的壳
思路方法:手动脱壳 目标文件:Insta3De.exe (1,149,724 字节) 使用工具:Soft-ice 405 、Procdump1.6.5 、Icedump6015 前言:由于我没找到用Vbox430保护软件Software所以用Insta3D version 2.0代替Vbox420和Vbox430脱壳思路方法差不多希望这篇文章能起到抛砖引玉作用另外请使用Icedump6014... [阅读全文]
破解圣经的------滚瓜烂熟篇(1)
(1)经典比较组合,常为注册码出现处(by programhunter) 1mov eax [ ] 这里可以是地址也可以是其它寄存器mov edx [ ] 同上 通常这两个地址就储存着重要信息call 00??????test eax eaxjz(jnz) 2mov eax [ ] 这里可以是地址也可以是其它寄存器mov edx [ ] 同上 通常这两个地址就储存着重要信息call 00???... [阅读全文]
破解圣经的------滚瓜烂熟篇(2)
(3)比较位数cmp dword ptr[ebp-04],0000000Ajne/jge/jle/je 00xxxx 或mov eax, dword ptr [ebp-04]call 00xxxxcmp eax, 0000000A ----比较注册码是否为10位jne 00xxxxx ----不是,错 (4)VB经典比较PUSH XXX //假注册码PUSH XXX //真注册码CALL [M... [阅读全文]
pecompact脱壳机:对PECompact.exe v1.34的手动脱壳
目标:PECompact.exe 35,840 v1.34 脱壳 下载:http://www.cnvnet.com/download/d/pecup.exe 使用工具:SoftICE 4.00; ProcDump 1.6.2; IceDump 6.0.1.5; HexWorkShop; (补充句:以下Import table我称作输入表可能说法不规范标准不过我打习惯了大家原谅下) (注:以... [阅读全文]
windowsapi:破解API Spy for Windows 95/98/NT/2000
破解API Spy for Windows 95/98/NT/2000 =写得不好初学者看看吧 API32spy是个非常有用破解工具!它可以用来侦测系统了那些帮助我们决定下什么断点 下载:http://madmat.hypermart.net/apis3225.exe http://apis32.virtualave.net/soft/apis3225.exe http://skyscra... [阅读全文]
加壳脱壳工具:手动脱壳的教程(由petite v2.2加壳)
虽然已经有petite v2.2脱壳机但我认为手动脱壳是个cracker必须掌握基本技能的有必要学习ImportREC重建IAT窍门技巧 就拿embird[bcg]在论坛贴问题做例子吧! 工具:trw2000,ImportREC v1.3冲击波2000 找OEP 很简单用冲击波2000可看到OEP在426F67处 2保存主 在426F67处设断点中断后下命令:“makep... [阅读全文]
petiteamie:Petite 脱壳 标准 解决思路方法
工具:r!scs petite 2.2/2.1 enlarger v1.0、PEditor 1.7 想来大家早就用 Enlarge 脱壳过了 Petite 东东可是脱壳后文件用 eXeScope 打开还是说不认用 ResHacker 或是 Restorator 打开说没有资源问题不是在它没有完全脱壳而是 Enlarge 脱壳后对于各个段名称不是原来标准段名称(也许是由于 Petite 压缩原因无... [阅读全文]
petiteamie:Petite 2.x 脱壳
简要说下: 1、设断点 bpx loadlibrarya do "dd esp-4" 2、F12到EditPad.exe领空 3、向上找到最近个JNZ我这里跟踪时显示如下:015F:004B6C01 8BD8 MOV EBX,EAX015F:004B6C03 833E00 CMP DWORD PTR [ESI],00015F:004B6C06 0F8415020000 JZ 004B6E2... [阅读全文]
chm编辑器:chm帮助编辑器v2.6 注册码破解详谈的一*脱壳篇*
就先说说软件Software脱壳吧!它用upx加壳. 第种脱壳思路方法:trw+冲击波0.2 启动冲击波,点击Trace,然后运行要脱壳软件Software,此时冲击波会显示个数值(这里应该是00488C78),这 就是入口. trw载入文件,Ctrl+N, g 00488C78 MakePe 或 pedump 脱壳成功! 第 2种脱壳思路方法:只用trw. 用trw载入,选择加... [阅读全文]
非安全:非安全编程演示的格式化字符串(1)
译者注:本文由Core Security发布通过geraInsecure Programming中5个例子介绍说明格式化串漏洞alert7前辈曾经由这5个例子写了非安全编程演示的格式化串篇所以我也就使用了同样名字翻译中的处还请各位高手斧正 介绍在这篇文章中Core Security将展示c语言中员常犯些通过gera举5个例子来介绍说明format (格式化串)这类型问题我们将确切指出中bug并... [阅读全文]
非安全:非安全编程演示的格式化字符串(2)
sh-2.05# exitexituser@CoreLabs:~/gera$ 下面是例子溢出时heap memory情况: / | | | | | |GOT | | | | | |\ |______________________| |_________________________| |_______________________|/ | 0x00000000 | | 0xb f f ... [阅读全文]
pecompact:脱pecompact1.71加的壳
对象:记事本pecompact1.71未注册版加壳难度:very very easy级trw载入notepad.exe1.0167:0040AB26 00C3 ADD BL,AL0167:0040AB28 9C PUSHF -停在这儿0167:0040AB29 60 PUSHA0167:0040AB2A E802000000 CALL 0040AB31 F8追入- F10后运行0167:0040A... [阅读全文]
vboxhd360:VBox 4.1脱壳
其实VBox 4.1脱壳和VBox 4.0.3 脱壳时入口点差不多可以手动脱或 Procdump脱这里附篇英文文章 You may have already heard of TR&TRW. It is a wonderful debugger provided by Liutaotao.I couldt say have much I like it. VBOXT410.DLL cant f... [阅读全文]
脱壳教程:AZPR3.0的脱壳教程
版权声明: 本文没有版权,允许任意转贴和修改. 但如果只引用文中部分内容时,请最好注明原文出处,以表示对位Cracker同行劳动尊重. 使用工具: TRW2000 1.03 ProcDump 1.6.2 Hexworkshop 3.02 比起其Beta版来,AZPR 3.0正式版保护更为加强. 1. 对Softice多处Check,用FrogsICE不能完全骗过; 2. CRC校验; 3... [阅读全文]
加壳脱壳工具:Thebat!139脱壳详情及对Asprotect加壳保护的一点小结
小弟本想脱thebat141壳但小弟下载thebat141却没有加壳没办法还是拿thebat139开刀了 如果小弟下面内容有错漏地方请给小弟指正 小弟脱壳思路方法和冰毒区别他思路方法我用不了我用Procdump32脱不了thebat壳 废话少说lets go! 所用工具:soft-ice405、icedump6015、procdump1.6.2、ultraedit5.0 首先加... [阅读全文]