看雪论坛
发新帖
11

[FAQ]『外壳技术』版块索引帖

linxer 2007-9-20 21:39 177501
虚拟机这块的内容移到 『软件调试论坛』 :http://bbs.pediy.com/forumdisplay.php?f=4&tcatid=131

一。虚拟机保护专题

1.VMProtect使用类

VMProtect使用技巧汇集__最好的虚拟机保护软件之一 (作 者: kanxue)
http://bbs.pediy.com/showthread.php?t=49979

VMProtect SDK+ASProtect SDK混合编程[代码演示] (作 者: Anskya)
http://bbs.pediy.com/showthread.php?t=20317

【VMProtect】配合【PESpin的SDK加密】的另一方法 (作 者: acafeel)
http://bbs.pediy.com/showthread.php?t=20324

VMProtect 与 ASProtect 在VC中的SDK编程. (作 者: glucose)
http://bbs.pediy.com/showthread.php?t=37477

2.VMProtect分析类

VMProtect 虚拟机小窥 (作 者: forgot)
http://bbs.pediy.com/showthread.php?t=15375

寂寞轰炸:再次小窥 VMProtect 虚拟机 (作 者: forgot)
http://bbs.pediy.com/showthread.php?t=37293

VMProtect进入虚拟机时 (作 者: Bughoho)
http://bbs.pediy.com/showthread.php?t=41053

VMProtect 简单分析1 (作 者: somuch)
http://bbs.pediy.com/showthread.php?t=51558

3.Themida壳分析类

Themida虚拟机简单介绍 (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=26138

Themida的VM分析--变形代码清理 (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=34555

Themida 1.8.0.0 Demo虚拟机分析(完成,共8章) (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=36453

Themida 1.9.1.x CISC VM简单分析 (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=50590

4.Asprotect壳分析类

Asprotect 中的 X86 虚拟机代码分析 (作 者: blackeyes)
http://bbs.pediy.com/showthread.php?t=34135

Asprotect 中的 X86 的VM分析 (作 者: shoooo)
http://bbs.pediy.com/showthread.php?t=36245

【转帖】AsProtect VM Analyze by deroko (作 者: tzl)
http://bbs.pediy.com/showthread.php?t=50135

5.ExeCryptor壳分析类

ExeCryptor v2.2.6虚拟机不完全分析 (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=17763

ExeCryptor v2.X.X虚拟机不完全补完(处女帖) (作 者: softbihu)
http://bbs.pediy.com/showthread.php?t=29537

6.虚拟机开发类

虚拟机技术专题讨论 (发起人: Bughoho)
http://bbs.pediy.com/showthread.php?t=47633

游戏维护上不去,介绍一下虚拟机技术。 (作 者: forgot)
http://bbs.pediy.com/showthread.php?t=20792

简单的虚拟机伪代码解析 (作 者: Bughoho)
http://bbs.pediy.com/showthread.php?t=40953

x86机器码识别程序 (作 者: linxer)
http://bbs.pediy.com/showthread.php?t=41816

ring 3级32位x86 cpu仿真 (作 者: linxer)
http://bbs.pediy.com/showthread.php?t=42343

也说X86虚拟机(CPU仿真) (作 者: whtyy)
http://bbs.pediy.com/showthread.php?t=50509

7.其它类

变形的初步方案--两篇变形文章的读后感 (作 者: 月中人)
http://bbs.pediy.com/showthread.php?t=30844

VMCrackME----A Preliminary Virtual Machine From Top To Bottom (作 者: cyclotron)
http://bbs.pediy.com/showthread.php?t=40854
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (78)
8
kanxue 2007-9-20 21:50
2
二.外壳技术专题
注意:一些很初级的脱壳问题,请放『新兵论坛』讨论。
1.脱壳基础教学

脱壳入门初级教学
第一课 PE格式
第二课 SEH技术
第三课 认识壳
第四课 常见压缩壳与加密壳
第五课 文件类型分析
第六课 寻找OEP
第七课 Dump内存映像
第八课 重建输入表
第九课 手动确定IAT的地址与大小
第十课 优化与自校验去除

2.ASProtect 外壳

下载:VolX的Aspr2.XX_unpacker_v1.0
下载:VolX的Aspr2.XX_unpacker_v1.13

VolX这个脚本其实是一个ASProtect脱壳机了,支持Asprotect 1.32, 1.33, ,1.35, 1.4, 2.0, 2.1, 2.11, 2.2beta, 2.2, 2.3

1.Ollydbg 1.1
2.Odbgscript 1.47 或以上的版本(OD插件,一般集成OD都有)
3.Import Reconstructor

运行Ollydbg打开目标程序,单击OD菜单“插件/Odbgscript/运行脚本”,打开VolX这个脚本:Aspr2.XX_unpacker_v1.0SC.osc

然后按着脚本提示操作就可。
脚本跑完,会在目标软件的目录生成一个de_文件名.exe,OD的记录窗口(按Alt+L)打开显示了OEP,IAT等信息,如:
           IAT 的地址 = 00405000
           IAT 的相对地址 = 00005000
           IAT 的大小 = 000000BC
00A70042   断点位于 00A70042
           OEP 的地址 = 00401D2B
           OEP 的相对地址 = 00001D2B


接下来,你再用Import Reconstructor修复输入表即可,最后Fix Dump时选中de_文件名.exe.

一般情况下,用VolX的脚本就能脱Asprotect了。如果你要手工脱壳,如下文章可参考:
[URL="http://bbs.pediy.com/showthread.php?s=&threadid=19313"]nspack3.5主程序脱壳分析(Aspr SKE 2.X) [/URL](输入表) [URL="http://bbs.pediy.com/showthread.php?s=&threadid=23771"]Asprotect SKE 2.2 的Advanced Import protection保护技术 [/URL](输入表) [URL="http://bbs.pediy.com/showthread.php?s=&threadid=22277"]莱鸟脱Aspr2.11 SKE+修复stolen [/URL](Dump法对付stolen OEP) [URL="http://bbs.pediy.com/showthread.php?s=&threadid=24437"]ASProtect.SKE.2.11 stolen code解密 [/URL](ASProtect 2.11的stolen与SDK修复技术 ) [URL="http://bbs.pediy.com/showthread.php?s=&threadid=24774"]ASProtect_SKE_2.3Beta_Build0319 stolen code分析 [/URL](ASProtect 2.22/2.23的stolen与SDK修复技术 ) [URL="http://bbs.pediy.com/showthread.php?s=&threadid=28790"]ASProtect SKE 2.2 SDK中的API修复 [/URL]


附ASProtect脱壳机:
ASProtect1.2以前版本,可以用CASPR v1.10
ASProtect1.2x,可以用Stripper 2.07ht
ASProtect 1.3~ASProtect 2.0 ,可以用Stripper 2.11
ASProtect SKE 2.11以前版本,可以用stripper v2.13 (last beta)
ASProtect SKE 2.2/2.3 观注...

3.Armadillo外壳

辅助工具
相应工具下载页面:http://www.pediy.com/tools/unpacker.htm

Armadillo find protected:检测 Armadillo版本号及其保护类型
dilloDIE:一款脱 Armadillo 4.xx 的脱壳机
ArmaGUI:Armadillo 3.xx/4.xx 脱壳机
ArmInline:辅助处理Armadillo壳,其中Code Splicing修复的很完美。输入表混淆修复感觉有些问题,建议手工修复。

手动脱壳教学
试玩armadillo3.50a一点心得 (基础知识)

Armadillo COPYMEMEII之DUMP的一个LOADPE小插件 (利用插件Dump取COPYMEMEII保护的程序)
Armadillo 3.6主程序脱壳 (Dump取COPYMEMEII保护的程序另一方法)

Patch 修复 Armadillo 的IAT乱序 (处理IAT乱序)

Armadillo中code splicing的几种处理方法 (手工修复Code Splicing)
Armadillo客户版Code Splicing+Import (利用ArmInline工具修复Code Splicing)

浅谈Armadillo V.3.75 与 V.3.78的保护 (Nanomites原理概念,即CC保护)
Blaze Media Pro5.05脱壳+基本修复CC(int3)+破解 (修复CC)
Armadillo V4.40主程序脱壳 (目前处理CC很好的一个方法)
带key脱壳

scz对Armadillo脱壳小结

4.Obsidium外壳

5.Themida & WinLicense

6.脱壳常见问题

Q:OD载入Aspr的壳就弹出检查到调试器,请卸载对话框,确定后马上退出,根本不给人调试的机会,这样的壳怎么脱? A:原因应该是导入表有dll也是aspr的壳,OD载入停在系统断点就可,然后IsDebugPresent就OK了(shoooo回答)

Q:何为脱壳的软件重新加ASPR壳? A: Directory Table中 Reserved: 00000000 010000000 那个1清0(堀北真希回答)


Q:如何清除themida给系统留下的补丁?运行了一个themida加的软件。结果themida修改了SSDT,以后每次启动系统,驱动都自动加载了 A: sc stop oreans32 sc delete oreans32 (peaceclub回答)


1.什么叫 stolen code?如何判断有没stolen code? stolen code = 被偷走的代码 跟到原程序代码段发现代码不完整就是被偷走了,看经验 2.什么叫SDK 如何判断SDK? software development kit,提供一个接口给使用者,与壳发生交互作用增加强度。可以看软件说明。 3.什么叫暗庄,如何判断有无暗庄? 检测到自己被脱壳但是不明说,暗地里搞破坏。 4.脱aspr壳的时候 在什么情况下需要补区段? 代码被抽走的时候 (forgot回答)


Q:Armadillo加壳标记在哪? A:MajorLinkerVersion、MinorLinkerVersion处,具体如下: 000000F0 5045 0000 4C01 0400 DAD4 6643 0000 0000 PE..L.....fC.... 00000100 0000 0000 E000 0F01 0B01 5352 0000 0500 ..........[COLOR=red]SR[/COLOR] .... 00000110 0060 1500 0000 0000 B08B 0400 0080 0800 .`.............. 用十六进制工具打开文件,在PE头部分,你会发现SR字符,清零就行。


Q:加载某程序,OD直接崩溃 A:原因是OD调用的sprintf函数显示某些浮点数会崩溃的bug 原理及解决方法参考:[URL]http://bbs.pediy.com/showthread.php?threadid=33621[/URL] 从这下载修改版:[URL]http://www.pediy.com/tools/Debuggers.htm[/URL]

2
十三少 2007-9-20 21:53
3
我也来顶一下。
8
Bughoho 2007-9-20 21:54
4
辛苦辛苦
Thinker 2007-9-22 12:49
5
真是有心人,,,辛苦了
谁解乘舟 2007-9-30 18:37
6
你是最棒的    辛苦了
5
千里之外 2007-10-27 06:40
7
辛苦了 支持下 学习VM
gblzlc 2007-11-13 21:32
8
辛苦了 支持下
9
CCDeath 2007-11-25 01:16
9
赶快占位....
职天使 2007-12-21 13:33
10
我也来顶一下.
1
likunkun 2008-1-14 10:16
11
linxer真好
skyhack 2008-1-23 15:53
12
有没有人能帮我```
skyhack 2008-1-23 16:06
13
1111111111111111111
1
wsyzyddd 2008-2-3 16:37
14
支持..了..
只能这样...新手没有办法..

占个位置..:-)
侃学二二 2008-3-22 21:28
15
很详细的收集,谢了~
haileyuxin 2008-4-12 10:49
16
看看 还不错
hbhzga 2008-4-17 09:46
17
收下了,谢谢,支持。
atylon 2008-5-7 09:59
18
学习学习,谢谢
yoan 2008-6-11 17:14
19
难得的好东西啊
zhangjunyu 2008-6-30 13:29
20
brilliant感谢
windtrace 2008-7-13 19:05
21
好帖子留个名,非常有用
rmb 2008-7-15 00:29
22
今天开始学脱壳,顶起
tianle 2008-7-16 14:09
23
学习中,多谢了啊
askdyhw 2008-7-20 17:57
24
好帖子,好帖子
ucantseeme 2008-9-5 12:19
25
这个是好帖

占个位置先
liu牛 2008-9-18 11:12
26
非常详细先收集了
1
tornodo 2008-9-18 20:43
27
再次顶起来。
jianzhue 2008-9-29 14:29
28
[QUOTE=linxer;362381]一。虚拟机保护专题

VMProtect使用技巧汇集__最好的虚拟机保护软件之一 (作 者: kanxue)
http://bbs.pediy.com/showthread.php?t=49979

VMProtect SDK+ASProtect SDK混合编程[代码演示] (作 者: An...[/QUOTE]
顶 斑竹在吗?
jianzhue 2008-9-29 14:30
29
[QUOTE=linxer;362381]一。虚拟机保护专题

VMProtect使用技巧汇集__最好的虚拟机保护软件之一 (作 者: kanxue)
http://bbs.pediy.com/showthread.php?t=49979

VMProtect SDK+ASProtect SDK混合编程[代码演示] (作 者: An...[/QUOTE]
顶 斑竹在吗?
aslfych 2008-10-3 17:18
30
不错 b     感谢了
csh 2008-10-17 10:56
31
你们太厉害了。
小魇 2008-10-23 08:59
32
我想装linux。可是不会做。。。谁能帮忙一下
diy小虫 2008-11-2 10:24
33
好强的帖子啊..
支持了...
zhushouqqq 2008-11-28 09:53
34
好东西 顶起来 在看
zilongqqwe 2008-12-1 12:18
35
这个是什么壳啊

这个反编译的地址不是从00400。。开始的这是为什么呢?
怎么才能恢复到00400。。的状态呢?请高手指教!
上传的附件:
  • 1.JPG (179.98kb,210次下载)
  • 2.JPG (33.42kb,208次下载)
haiqilai 2008-12-21 13:03
36
东西太多`了 ` 眼睛花了```
混混angel 2009-1-16 16:49
37
谢谢斑竹了。
proxyhappy 2009-1-28 14:34
38
我来学习学习
天外有天 2009-1-31 16:01
39
非常好!!!!!!!!!!!!
魔之幻灵 2009-2-12 00:02
40
好东西,收藏了……呵呵,非常感谢!
lywq 2009-2-18 13:12
41
好好学习
谢谢
茂茂 2009-2-23 09:45
42
新手,先收藏慢慢看
2
poppig 2009-3-3 14:16
43
1楼的内容应该要更新下了~
kkllchun 2009-4-11 16:17
44
不错收下了 慢慢研究!!!!!!
胡雪岩 2009-5-3 13:05
45
感叹啊——
现在才找到原理…………
proxyhappy 2009-5-7 15:17
46
收藏了 谢谢分享
小阎 2009-5-17 16:59
47
支持..了..
只能这样...新手没有办法..
挂挂 2009-6-20 18:17
48
哇。。。强大!!
zefe 2009-6-20 22:44
49
我的第一次回复,一定要给最好的帖子!
龙心 2009-7-23 12:45
50
很详细的,我慢慢的学习吧
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 域名 加速乐 保护 | SSL证书 又拍云 提供 | 微信公众号:ikanxue
Time: 0.017, SQL: 10 / 京ICP备10040895号-17