随笔分类 -  逆向工程

关于一些可执行程序(主要是dll,exe)反汇编,脱壳和破解
E8工作流
该文被密码保护。
posted @ 2013-06-13 14:38 信息无障碍 阅读(14) 评论(0) 推荐(0)
网络安全:动态恢复与异或加密
摘要:样例:htran.exe(端口转发工具),网上有开源的代码,自行编译杀软:nod32 nod32这个杀软的特点是喜欢杀字符串。正向定位结果:文件名:E:\test\htran.exe------------------------------------------------特征码物理地址/物理长度如下:[特征] 00009320_00000002 00409320 2E:0D 0A005B2B OR EAX,2B5B000A [特征] 0000934A_00000002 0040934B 2E:0D 0A00005B OR EAX,5B00000A [特征] 00009418_000000 阅读全文
posted @ 2013-06-13 14:37 信息无障碍 阅读(405) 评论(0) 推荐(0)
软件制作:Perl
摘要:Perl2exe是一个将Perl脚本转换成windows上的可独立执行的可执行程序(*.exe)的工具,这样,你就可以不用装Perl而在windows系统上运行这个可执行程序。 在网上找了好久没有找到满意的perl2exe和相应的key,于是自己写了一个注册机(可以支持注册Perl2Exe V08.01--Perl2Exe V10.10),下面我们以最新版本Perl2Exe V10.10来测试下perl2exe Perl2exe 注册之前:C:\Perl>perl2exePerl2Exe V10.10 Copyright (c) 1997-2010 IndigoSTAR Software 阅读全文
posted @ 2013-06-13 14:36 信息无障碍 阅读(229) 评论(0) 推荐(0)
网络安全:手动清除gh0st远控服务端
摘要:手动清除gh0st远控服务端为什么我们要手动清除木马呢? 我们在做免杀或者在对gh0st大的修改的时候或者后门被意外破坏,不能用客户端自带的清除,这个时候就需要手动来清除。特别是我们在对一台肉鸡进行测试失败后(被杀或者dll释放了,没有上线),就需要手动清除,否则我们永远没法再上线了。病毒分析:------------------------------------------------------------------------------注册表创建如下键值:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4HKEY_LOCAL_ 阅读全文
posted @ 2013-06-13 14:36 信息无障碍 阅读(2296) 评论(0) 推荐(0)
软件制作:Python
摘要:一、简介py2exe是一个将python脚本转换成windows上的可独立执行的可执行程序(*.exe)的工具,这样,你就可以不用装python而在windows系统上运行这个可执行程序。py2exe已经被用于创建wxPython,Tkinter,Pmw,PyGTK,pygame,win32com client和server,和其它的独立程序。py2exe是发布在开源许可证下的。二、安装py2exe首先查看本机安装的Python版本,README.txt :This is Python version 2.7;然后下载与你所安装的Python对应的py2exe版本的instatller,下载地 阅读全文
posted @ 2013-06-13 14:36 信息无障碍 阅读(310) 评论(0) 推荐(0)
软件汉化:ASCII "Registered User"
摘要:ASCII "Registered User"取ESI(源索引寄存器)存放的字符串长度送到EAX(累加器)00403B43 |. 8B46 FC MOV EAX,DWORD PTR DS:[ESI-4]EAX 00000006ECX 77D1882A USER32.77D1882AEDX 0000000FEBX 00954954ESP 0012F98CEBP 0012F9B0ESI 00953384 ASCII "Gemgin"EDI 00441014 ASCII "Registered User"EIP 00403B49 Crack 阅读全文
posted @ 2013-06-13 14:35 信息无障碍 阅读(146) 评论(0) 推荐(0)
软件汉化:脱壳--音速启动 (VStart)
摘要:音速启动 (VStart)UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo方式1:00674FE0 > $ 60 PUSHAD在程序入口(刚加载的地方)F4直接进入下面的00411B60 68 1C2D4100 PUSH VStart.00412D1C ; ASCII "VB5!6&vb6chs.dll"00411B65 E8 F0FFFFFF CALL VStart.00411B5A ; JMP 到 MSVBVM60.ThunRTMain方式2:0067511D . F2:AE REPNE S 阅读全文
posted @ 2013-06-13 14:35 信息无障碍 阅读(451) 评论(0) 推荐(0)
读书札记:一些常用计算机管理命令
摘要:win+R键打开运行命令行 sndrec32-------录音机 Nslookup-------IP地址侦测器 explorer-------打开资源管理器 logoff---------注销命令 tsshutdn-------60秒倒计时关机命令 lusrmgr.msc----本机用户和组 services.msc---本地服务设置 oobe/msoobe /a----检查XP是否激活 notepad--------打开记事本 cleanmgr-------**整理 net start messenger----开始信使服务 compmgmt.msc---计算机管... 阅读全文
posted @ 2013-06-13 14:34 信息无障碍 阅读(239) 评论(0) 推荐(0)
读书札记:The build process failed during preparation of the resulting assembly
摘要:The build process failed during preparation of the resulting assembly {smartassembly} has detected a specific code instruction or definition ,which is not implemented in this version of {smartassembly}.A report containing valuable,yet anonymous,information about this specific issue can be sent to ou 阅读全文
posted @ 2013-06-13 14:34 信息无障碍 阅读(270) 评论(0) 推荐(0)
软件汉化:关于.net软件汉化流程说明
摘要:车辆最近在结项,其中曲折也就我知道吧~~,客户差点因为ABCpdfCE6.dll组件的非开源可能会引起版权之争,不给结项。这坚定了我对.net整个平台技术探索(其实也就是脱壳破解其源代码)。用PE查看其壳,未知壳,OD载人没有C、MFC、VB、JAVA等等特征。我先讲下汉化吧,汉化前提的条件是其没有加壳或者已经脱壳了。.net程序是来公司第一次接触的,对VS2005工具没有详细的了解,它的汉化过程开始我也不是很清楚,不管用Passolo还是Sisulizer都找不到资源,无法汉化的。在一次嘉为培训,老师告诉我VS2008有自带的反编译的工具,首先用Reflector反编译,查看程序的代码。发现 阅读全文
posted @ 2013-06-13 14:33 信息无障碍 阅读(519) 评论(0) 推荐(0)
软件汉化:关于ZoomIt汉化的两个关键的问题
摘要:ZoomIt汉化主要是两个关键的地方:1、 主界面导航上的汉化(Zoom、Live Zoom、Draw、Type、Break)。2、 左下角的托盘里面的英文汉化(Options、Break Timer、Draw、Zoom、Exit);导航汉化步骤:1、 用VS2005(我是用VS2008)或者Restorator 2007把下面的Zoom、Live Zoom、Draw、Type、Break翻译成相应的中文,然后设置下语言-中国(中文)。2、 用HxD工具打开ZoomIt.exe,Ctrl+F 查找Zoom这里转换相应的16进制托盘汉化:这里有点问题,需要用到“乾坤大挪移”,需要一个基址偏移量转 阅读全文
posted @ 2013-06-13 14:33 信息无障碍 阅读(554) 评论(0) 推荐(0)
汉化工具
摘要:汉化之前必须脱壳资源编辑器(界面汉化类): Restorator 2007 http://www.hanzify.org/?Go=Show::List&ID=10253&Down=2&L=cn Passolo: 资源识别(可以建方案 主流) http://www.hanzify.org/?Go=Show::List&ID=11435&Down=2&L=cn Sisulizer: 资源识别(可以建方案 主流) http://www.hanzify.org/?Go=Show::List&ID=12356&Down=2&L=cn 阅读全文
posted @ 2013-06-13 14:32 信息无障碍 阅读(394) 评论(0) 推荐(0)
Win32Asm 教程(二)
摘要:前一章 目录 后一章 1.0-介绍汇编语言 汇编语言是创造出来代替原始的只能由处理器理解的二进制代码的。很久以前,尚没 有任何高级语言,程序都是用汇编写的。汇编代码直接描述处理器可以执行的代码, 例如: add eax,edx add这条指令把两个值加到一起。eax和edx被称为寄存器,它们可以在处理器内部保 存值。这条代码被转换为66 03 c2(16进制)。处理器阅读这行代码,并执行它所代 表的指令。像C这样的高级语言把它们自己的语言翻译为汇编语言,而汇编器又把它 转换为二进制代码: C 代码 a = a + b; >> C编译器 >> 汇编语言 add eax, 阅读全文
posted @ 2013-06-13 14:32 信息无障碍 阅读(287) 评论(0) 推荐(0)
Win32Asm 教程(一)
摘要:前一章 目录 后一章 1.0-介绍汇编语言 汇编语言是创造出来代替原始的只能由处理器理解的二进制代码的。很久以前,尚没 有任何高级语言,程序都是用汇编写的。汇编代码直接描述处理器可以执行的代码, 例如: add eax,edx add这条指令把两个值加到一起。eax和edx被称为寄存器,它们可以在处理器内部保 存值。这条代码被转换为66 03 c2(16进制)。处理器阅读这行代码,并执行它所代 表的指令。像C这样的高级语言把它们自己的语言翻译为汇编语言,而汇编器又把它 转换为二进制代码: C 代码 a = a + b; >> C编译器 >> 汇编语言 add eax, 阅读全文
posted @ 2013-06-13 14:32 信息无障碍 阅读(273) 评论(0) 推荐(0)
技巧心得: runauto..灰鸽子病毒处理过程
摘要:runauto..灰鸽子病毒处理过程一、首先确认你是否中招,调出“任务管理器”,如果发现有两个lsass.exe进程,则基 本可以确定你中招了。进程大的lsass是病毒不能结束,不要慌~~二、进入C:\WINDOWS会发现四个异样的文件,cmd.exe.exe 、lsass.exe 、regedit.exe.exe 、setuprs1.pif 你删不掉他们,但是你把lsass.exe文件随便改个名字就行了,就可以把他们全部删除,注意:cmd.exe.exe 非 cmd.exe,三、 再把“任务管理器”打开,结束病毒进程lsass.exe,病毒的进程就结束了,但是你会发现你的C/D/F盘都有个. 阅读全文
posted @ 2013-06-13 14:27 信息无障碍 阅读(315) 评论(0) 推荐(0)
MS12-020测试工具
摘要:* * MS12-020.rb为严格符合rdp数据包规范的ruby脚本语言的MS12-020测试PoC * * Chinese Shit.py为网上流传的MS12-020漏洞程序Python脚本wireshark v2修正版 * 西班牙语XP SP3和Win7/R2都成功 * * Chinese S 阅读全文
posted @ 2012-03-16 14:39 信息无障碍 阅读(2287) 评论(0) 推荐(0)