首页
论坛
课程
招聘
[FAQ]『外壳技术』版块索引帖
2007-9-20 21:39 211663

[FAQ]『外壳技术』版块索引帖

2007-9-20 21:39
211663
虚拟机这块的内容移到 『软件调试论坛』 :http://bbs.pediy.com/forumdisplay.php?f=4&tcatid=131

一。虚拟机保护专题

1.VMProtect使用类

VMProtect使用技巧汇集__最好的虚拟机保护软件之一 (作 者: kanxue)
http://bbs.pediy.com/showthread.php?t=49979

VMProtect SDK+ASProtect SDK混合编程[代码演示] (作 者: Anskya)
http://bbs.pediy.com/showthread.php?t=20317

【VMProtect】配合【PESpin的SDK加密】的另一方法 (作 者: acafeel)
http://bbs.pediy.com/showthread.php?t=20324

VMProtect 与 ASProtect 在VC中的SDK编程. (作 者: glucose)
http://bbs.pediy.com/showthread.php?t=37477

2.VMProtect分析类

VMProtect 虚拟机小窥 (作 者: forgot)
http://bbs.pediy.com/showthread.php?t=15375

寂寞轰炸:再次小窥 VMProtect 虚拟机 (作 者: forgot)
http://bbs.pediy.com/showthread.php?t=37293

VMProtect进入虚拟机时 (作 者: Bughoho)
http://bbs.pediy.com/showthread.php?t=41053

VMProtect 简单分析1 (作 者: somuch)
http://bbs.pediy.com/showthread.php?t=51558

3.Themida壳分析类

Themida虚拟机简单介绍 (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=26138

Themida的VM分析--变形代码清理 (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=34555

Themida 1.8.0.0 Demo虚拟机分析(完成,共8章) (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=36453

Themida 1.9.1.x CISC VM简单分析 (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=50590

4.Asprotect壳分析类

Asprotect 中的 X86 虚拟机代码分析 (作 者: blackeyes)
http://bbs.pediy.com/showthread.php?t=34135

Asprotect 中的 X86 的VM分析 (作 者: shoooo)
http://bbs.pediy.com/showthread.php?t=36245

【转帖】AsProtect VM Analyze by deroko (作 者: tzl)
http://bbs.pediy.com/showthread.php?t=50135

5.ExeCryptor壳分析类

ExeCryptor v2.2.6虚拟机不完全分析 (作 者: softworm)
http://bbs.pediy.com/showthread.php?t=17763

ExeCryptor v2.X.X虚拟机不完全补完(处女帖) (作 者: softbihu)
http://bbs.pediy.com/showthread.php?t=29537

6.虚拟机开发类

虚拟机技术专题讨论 (发起人: Bughoho)
http://bbs.pediy.com/showthread.php?t=47633

游戏维护上不去,介绍一下虚拟机技术。 (作 者: forgot)
http://bbs.pediy.com/showthread.php?t=20792

简单的虚拟机伪代码解析 (作 者: Bughoho)
http://bbs.pediy.com/showthread.php?t=40953

x86机器码识别程序 (作 者: linxer)
http://bbs.pediy.com/showthread.php?t=41816

ring 3级32位x86 cpu仿真 (作 者: linxer)
http://bbs.pediy.com/showthread.php?t=42343

也说X86虚拟机(CPU仿真) (作 者: whtyy)
http://bbs.pediy.com/showthread.php?t=50509

7.其它类

变形的初步方案--两篇变形文章的读后感 (作 者: 月中人)
http://bbs.pediy.com/showthread.php?t=30844

VMCrackME----A Preliminary Virtual Machine From Top To Bottom (作 者: cyclotron)
http://bbs.pediy.com/showthread.php?t=40854

[公告]春风十里不如你,看雪团队诚邀你的加入!

收藏
点赞1
打赏
分享
最新回复 (82)
雪    币: 1850
活跃值: 活跃值 (4716)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2007-9-20 21:50
2
0
二.外壳技术专题
注意:一些很初级的脱壳问题,请放『新兵论坛』讨论。
1.脱壳基础教学

脱壳入门初级教学
第一课 PE格式
第二课 SEH技术
第三课 认识壳
第四课 常见压缩壳与加密壳
第五课 文件类型分析
第六课 寻找OEP
第七课 Dump内存映像
第八课 重建输入表
第九课 手动确定IAT的地址与大小
第十课 优化与自校验去除

2.ASProtect 外壳

下载:VolX的Aspr2.XX_unpacker_v1.0
下载:VolX的Aspr2.XX_unpacker_v1.13

VolX这个脚本其实是一个ASProtect脱壳机了,支持Asprotect 1.32, 1.33, ,1.35, 1.4, 2.0, 2.1, 2.11, 2.2beta, 2.2, 2.3

1.Ollydbg 1.1
2.Odbgscript 1.47 或以上的版本(OD插件,一般集成OD都有)
3.Import Reconstructor

运行Ollydbg打开目标程序,单击OD菜单“插件/Odbgscript/运行脚本”,打开VolX这个脚本:Aspr2.XX_unpacker_v1.0SC.osc

然后按着脚本提示操作就可。
脚本跑完,会在目标软件的目录生成一个de_文件名.exe,OD的记录窗口(按Alt+L)打开显示了OEP,IAT等信息,如:
           IAT 的地址 = 00405000
           IAT 的相对地址 = 00005000
           IAT 的大小 = 000000BC
00A70042   断点位于 00A70042
           OEP 的地址 = 00401D2B
           OEP 的相对地址 = 00001D2B


接下来,你再用Import Reconstructor修复输入表即可,最后Fix Dump时选中de_文件名.exe.

一般情况下,用VolX的脚本就能脱Asprotect了。如果你要手工脱壳,如下文章可参考:

nspack3.5主程序脱壳分析(Aspr SKE 2.X) (输入表)
Asprotect SKE 2.2 的Advanced Import protection保护技术 (输入表)


莱鸟脱Aspr2.11 SKE+修复stolen (Dump法对付stolen OEP)

ASProtect.SKE.2.11 stolen code解密 (ASProtect 2.11的stolen与SDK修复技术 )
ASProtect_SKE_2.3Beta_Build0319 stolen code分析 (ASProtect 2.22/2.23的stolen与SDK修复技术 )

ASProtect SKE 2.2 SDK中的API修复


附ASProtect脱壳机:
ASProtect1.2以前版本,可以用CASPR v1.10
ASProtect1.2x,可以用Stripper 2.07ht
ASProtect 1.3~ASProtect 2.0 ,可以用Stripper 2.11
ASProtect SKE 2.11以前版本,可以用stripper v2.13 (last beta)
ASProtect SKE 2.2/2.3 观注...

3.Armadillo外壳

辅助工具
相应工具下载页面:http://www.pediy.com/tools/unpacker.htm

Armadillo find protected:检测 Armadillo版本号及其保护类型
dilloDIE:一款脱 Armadillo 4.xx 的脱壳机
ArmaGUI:Armadillo 3.xx/4.xx 脱壳机
ArmInline:辅助处理Armadillo壳,其中Code Splicing修复的很完美。输入表混淆修复感觉有些问题,建议手工修复。

手动脱壳教学
试玩armadillo3.50a一点心得 (基础知识)

Armadillo COPYMEMEII之DUMP的一个LOADPE小插件 (利用插件Dump取COPYMEMEII保护的程序)
Armadillo 3.6主程序脱壳 (Dump取COPYMEMEII保护的程序另一方法)

Patch 修复 Armadillo 的IAT乱序 (处理IAT乱序)

Armadillo中code splicing的几种处理方法 (手工修复Code Splicing)
Armadillo客户版Code Splicing+Import (利用ArmInline工具修复Code Splicing)

浅谈Armadillo V.3.75 与 V.3.78的保护 (Nanomites原理概念,即CC保护)
Blaze Media Pro5.05脱壳+基本修复CC(int3)+破解 (修复CC)
Armadillo V4.40主程序脱壳 (目前处理CC很好的一个方法)
带key脱壳

scz对Armadillo脱壳小结

4.Obsidium外壳

5.Themida & WinLicense

6.脱壳常见问题


Q:OD载入Aspr的壳就弹出检查到调试器,请卸载对话框,确定后马上退出,根本不给人调试的机会,这样的壳怎么脱?
A:原因应该是导入表有dll也是aspr的壳,OD载入停在系统断点就可,然后IsDebugPresent就OK了(shoooo回答)


Q:何为脱壳的软件重新加ASPR壳?
A: Directory Table中
Reserved: 00000000 010000000

那个1清0(堀北真希回答)



Q:如何清除themida给系统留下的补丁?运行了一个themida加的软件。结果themida修改了SSDT,以后每次启动系统,驱动都自动加载了
A:
sc stop oreans32
sc delete oreans32
(peaceclub回答)


1.什么叫 stolen code?如何判断有没stolen code?

stolen code = 被偷走的代码

跟到原程序代码段发现代码不完整就是被偷走了,看经验

2.什么叫SDK 如何判断SDK?

software development kit,提供一个接口给使用者,与壳发生交互作用增加强度。可以看软件说明。

3.什么叫暗庄,如何判断有无暗庄?

检测到自己被脱壳但是不明说,暗地里搞破坏。


4.脱aspr壳的时候 在什么情况下需要补区段?

代码被抽走的时候

(forgot回答)



Q:Armadillo加壳标记在哪?
A:MajorLinkerVersion、MinorLinkerVersion处,具体如下:
000000F0 5045 0000 4C01 0400 DAD4 6643 0000 0000 PE..L.....fC....
00000100 0000 0000 E000 0F01 0B01 5352 0000 0500 ..........SR ....
00000110 0060 1500 0000 0000 B08B 0400 0080 0800 .`..............

用十六进制工具打开文件,在PE头部分,你会发现SR字符,清零就行。



Q:加载某程序,OD直接崩溃
A:原因是OD调用的sprintf函数显示某些浮点数会崩溃的bug
原理及解决方法参考:http://bbs.pediy.com/showthread.php?threadid=33621
从这下载修改版:http://www.pediy.com/tools/Debuggers.htm

雪    币: 211
活跃值: 活跃值 (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
十三少 活跃值 2 2007-9-20 21:53
3
0
我也来顶一下。
雪    币: 1834
活跃值: 活跃值 (72)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
Bughoho 活跃值 8 2007-9-20 21:54
4
0
辛苦辛苦
雪    币: 226
活跃值: 活跃值 (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Thinker 活跃值 2007-9-22 12:49
5
0
真是有心人,,,辛苦了
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
谁解乘舟 活跃值 2007-9-30 18:37
6
0
你是最棒的    辛苦了
雪    币: 180
活跃值: 活跃值 (13)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
千里之外 活跃值 5 2007-10-27 06:40
7
0
辛苦了 支持下 学习VM
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gblzlc 活跃值 2007-11-13 21:32
8
0
辛苦了 支持下
雪    币: 193
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
CCDeath 活跃值 9 2007-11-25 01:16
9
0
赶快占位....
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
职天使 活跃值 2007-12-21 13:33
10
0
我也来顶一下.
雪    币: 324
活跃值: 活跃值 (17)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
likunkun 活跃值 1 2008-1-14 10:16
11
0
linxer真好
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
skyhack 活跃值 2008-1-23 15:53
12
0
有没有人能帮我```
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
skyhack 活跃值 2008-1-23 16:06
13
0
1111111111111111111
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wsyzyddd 活跃值 1 2008-2-3 16:37
14
0
支持..了..
只能这样...新手没有办法..

占个位置..:-)
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
侃学二二 活跃值 2008-3-22 21:28
15
0
很详细的收集,谢了~
雪    币: 109
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
haileyuxin 活跃值 2008-4-12 10:49
16
0
看看 还不错
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hbhzga 活跃值 2008-4-17 09:46
17
0
收下了,谢谢,支持。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
atylon 活跃值 2008-5-7 09:59
18
0
学习学习,谢谢
雪    币: 101
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yoan 活跃值 2008-6-11 17:14
19
0
难得的好东西啊
雪    币: 102
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
zhangjunyu 活跃值 2008-6-30 13:29
20
0
brilliant感谢
雪    币: 1415
活跃值: 活跃值 (250)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
windtrace 活跃值 2008-7-13 19:05
21
0
好帖子留个名,非常有用
雪    币: 202
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rmb 活跃值 2008-7-15 00:29
22
0
今天开始学脱壳,顶起
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
tianle 活跃值 2008-7-16 14:09
23
0
学习中,多谢了啊
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
askdyhw 活跃值 2008-7-20 17:57
24
0
好帖子,好帖子
雪    币: 435
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ucantseeme 活跃值 2008-9-5 12:19
25
0
这个是好帖

占个位置先
游客
登录 | 注册 方可回帖
返回