06 2016 档案
摘要:1、 [公告] 吾爱破解论坛官方入门教学培训第一期开始啦!【已更新到第十课】 http://www.52pojie.cn/thread-349073-1-1.html 2、 零基础新手破解学习指导教程 http://www.52pojie.cn/thread-327415-1-1.html 3、七周
阅读全文
摘要:1、 http://www.52pojie.cn/forum.php?mod=viewthread&tid=388015 ZC: 网页内容保存于 : 百度云 > 全部文件 > 小生我怕怕工具包 > 吾爱破解工具包_2015_7_22_??.rar 由于工具包更新,体积较大,本压缩包使用7-Zip进行
阅读全文
摘要:PS: 52pojie 注册需要邀请码,买的话 一个19元,可以发牛人文章... 1、 谈谈VMP2.05的脱壳修复以及跨平台 http://www.52pojie.cn/thread-90679-1-1.html 2、找 kissy脱VMP两个视频 时发现的: http://www.52pojie
阅读全文
摘要:【01:55】"VMP1.7 IAT修复脚本.txt"、"VMP IAT高级处理脚本.osc"、"VMProtect 修复脚本.txt"、"vmp_iat.osc" 【05:15】先不看脚本,先自己写一下 【09:35】(ZC: 又不自己写了...) 直接拿 "VMP1.7 IAT修复脚本.txt"
阅读全文
摘要:1、OD 加载exe --> 运行到用户代码,断下之后 --> 堆栈窗口 ESP 右击 数据窗口中跟随 --> 将数据窗口的下拉框拉到最下面 (或者直接看堆栈窗口) 如下图: ZC: 此图效果为 XPsp3中的效果,有如下信息: (1)、此时的 ESP值为 0012FFC4,其值 正好就是 调用ke
阅读全文
摘要:1、ESP 定律 1.1、第10讲 压栈 --> 数据窗口跟随ESP的值,设置 硬件(软件)访问(写入)断点 --> (shift+)F9 2、内存镜像 2.1、第10讲 OD“内存映射”界面,第1个".rsrc"节设置 F2断点 --> Shift+F9 --> “内存映射”界面 00401000
阅读全文
摘要:【02:28】ZC: 堆栈最顶端,kernel32.7C817077 上面设置断点 硬件写入 字节 【12:12】最主要让大家掌握:通过 内存保护断点VirtualProtect 到达正确的OEP的时机,找到正确的OEP,然后在空代码处 修复OEP,从而 脱掉VMP1.8x的壳 Z
阅读全文
摘要:01、VMProtect 脱壳理论与逆向分析02、VMProtect 1.6x版 完美脱壳03、VMProtect 1.704(VB) 脱壳实战04、VMProtect 1.6x~1.8 脱壳分析05、自创法脱 VMProtect 1.6~1.7.0406、VMProtect 1.8x 脱壳实战07
阅读全文
摘要:ZC: 好几处 没看懂... 需要回看 【00:40】PEiD查壳,节"ppptr0"/节"ppptr1"/节"ppptr2",这个壳 明显就是VMP的。应该是个BC++的程序 【01:15】die 0.64,显示 是BC++ 【01:28】OD加载 【01:35】直接使用 ESP定律,断点 硬件访
阅读全文
摘要:ZC: 本讲中,OD中异常的设置 是什么样的?默认的全部忽略? 【00:38】PEiD显示:节 vmp0/vmp1/vmp2 证明 这个壳的版本还比较高,有3个VMP段,保护比较强烈 【01:28】die_0[1].64.rar 【01:38】软件标题:“Detect it Easy 0.64” 【
阅读全文
摘要:1、第4课 【00:22】PEiD v0.95 【01:38】“die_0[1].64.rar” ==> 软件标题:“Detect it Easy 0.64” ZC: 应该主要看的是 "Compler" 和 "LinkerInfo" 的信息 2、 3、 4、 5、
阅读全文
摘要:【00:10】网址“www.jxsrjy.com”貌似打不开了... QQ号:751350937 【01:05】首先我们要判断出,它是 VMP壳。 工具: “FastScanner 3” ==> 它只认识 VMP v1.704 【01:33】exeinfope (ZC: 视频里面这个工具没有显示出来
阅读全文
摘要:1、别人整理的资料 http://bbs.fishc.com/thread-63173-1-1.html 2、 [LCG新年礼物之一]Decode AutoIt3 http://www.52pojie.cn/thread-129042-1-1.html http://www.52pojie.cn/f
阅读全文
摘要:PS: 开始 难度中高级的壳 1、第16课 基础脱壳教程16:脱 ACProtect 1.32 (无Stolen Code) 1、设置异常,隐藏OD 2、SE处下内存访问断点 3、SHIFT+F9,F2,再一次SHIFT+F9,下断,再一次SHIFT+F9 4、取消所有断点 5、内存,0040100
阅读全文
摘要:1、第11课 基础脱壳教程11:附加数据的处理方法 [Overlay] 工具:overlay最终版 WIN HEX或HEX WORKSHOP 【80】【00:25】壳"nSPack 1.3" 北斗的壳,最后有个 "[Overlay]" 【138】【00:45】OD载入 【180】【00:59】快速脱
阅读全文
摘要:1、 自动步入 会进入系统API里面 2、 貌似没有办法,设置这样的断点: 执行每条指令 都去判断ESP 看ESP是否符合断点条件 3、 4、 5、
阅读全文
摘要:ZC: 需要将 每节课 里面 脱的每种壳 使用了哪些方法都记录下来 1、第6课 基础脱壳教程6:手脱EZIP 壳 (1)、单步 (A)、【510】【02:50】入口点是否找错 【550】【03:03】"d 4064F4"。向上拉,拉到全等于零的哪一个... 最后来到的是地址0x4062E4 【640
阅读全文
摘要:1、第2课 【3090】【10:18】"tc eip<00430000",此时 OD的左上角 显示 "跟踪"两个字 2、第3课 【2500】【08:20】at命令:"at GetVersion" 3、第4课 【760】【04:13】OD命令"d 425210" ZC: "d 425210" 和 "d
阅读全文
摘要:1、手脱UPX壳 常见压缩壳 2、手脱ASPACK壳 3、手脱Nspack壳 4、手脱FSG壳 5、手脱PECompact2.X壳 6、手脱EZIP壳 7、手脱TELock0.98b1壳 8、手脱EXE32PACK壳 9、脱WinUpack加的壳 10、脱壳基本的思路及小结 11、附加数据的处理方法
阅读全文
摘要:1、第1课 【1892】【10:30】"dd ESP" / "hr ESP" OD工具栏里面的 按钮"C" 就是来到 反汇编窗口 2、脱完壳,修复完之后,还是无法运行,可以尝试一下方式: (1)、尝试手动修复IAT ==> 第4课【1233】【06:50】 (2)、尝试 LoadPE-->"重建PE
阅读全文
摘要:1、第1课 PEID(查壳)、OD 2、 3、
阅读全文
摘要:ZC: 如何确定被调试程序已经来到了 未加壳的程序中? ZC: 视频中是使用判断集中语言的特征 ZC: 我的方法:上面的方式 + ESP平衡 1、第1课 (1)、单步跟踪(原则:向下的跳转==>正常F8,向上的跳转==>F4跳过(或者用F2 达到相同效果)) 【930】【05:10】一般来说,很大跨
阅读全文
摘要:ZC: 主要是 非代码的 分析结构 1、 1.1、DosHeader: PE从偏移0开始就是 1.2、NtHeader: 位于 紧接着DosHeader的后面(具体位置为: DosHeader的偏移[0] + DosHeader.e_lfanew) 1.2.1、NtFileHeader: NtHea
阅读全文
摘要:1、 一套脱壳教程讲的十分详细\第18讲、ACProtect之寻找丢失的Stolen Code 1.1、这个,直接用 ESP定律法,程序就直接跑起来了... 1.2、用 定位了最后一次"int 3"异常(一共就断下一次"int 3"异常...),然后 用"CTRL+F7"(也就是 自动步入) 虚拟机
阅读全文
摘要:1、(http://baike.baidu.com/subview/3747364/3747364.htm) cmp(compare)指令进行比较两个操作数的大小 例:cmpoprd1,oprd2 为第一个操作减去第二个操作数, 但不影响第两个操作数的值 它影响flag的 CF,ZF,OF,AF,P
阅读全文
摘要:1、(http://baike.baidu.com/subview/1234/8387433.htm) 语法:TEST r/m,r/m/data 影响标志:C,O,P,Z,S(其中C与O两个标志会被设为0) Intel的技术手册上是这么写的: 2、
阅读全文
摘要:ZC: 这个知识点需要整理一下 1、 比较指令: 指令 基于 描述 cmpb S2,S1 S1 – S2 比较字节,差关系 testb S2,S1 S1 & S2 测试字节,与关系 cmpw S2,S1 S1 – S2 比较字,差关系 testw S2,S1 S1 & S2 测试字,与关系 cmpl
阅读全文
摘要:黑域基地脱壳破解全套教程_初级班 1、第1课 【08:38】推荐查壳工具 protection_id.exe (ZC: 视频里的版本信息为“PROTECTiON iD v0.6.4.0 JULY”),比PEID查的更准确一些 【11:28】“Import REConstructor 1.6” (视频
阅读全文
浙公网安备 33010602011771号