逆向脱壳的存档

hashcat暴力破解密码

最近参加看雪的CrackMe挑战赛, 因为我写的CrackMe使用了散列算法. 所以为了测试时间, 在网上发现一个暴力破解密码的好东西, hashcat

阅读全文… 

为什么会有mov edi, edi

原来一直被windows上的一些固定汇编指令搞的有点糊涂, 各种说法其实都有, 比如这个mov edi, edi. 实际这个指令是干什么用的呢? 每个人都有不同的说法, 今天了解到一种比较靠谱的说法!

阅读全文… 

Themida脱壳2(IAT填写代码分析)

今天下午本来兴奋的以为可以拿那个Themida的壳来实验实验Oreans UnVirtualizer. 结果发现还是掉链子啊, 这个工具还是不行. 绝对的不行.还是老实一点, 自己慢慢倒腾吧..

接着中午的弄, 中午搞到IAT表了. 下面就是分析IAT处理的代码了. 首先是这里.

阅读全文… 

Themida 脱壳1(IAT定位)

Themida1.3.5.5已经算是比较旧的版本了吧, 我想这个壳应该可以代表1.3.x以前的比如1.2什么的. 不带驱动的壳. 好吧, 就从它开始. 这个壳确实. VM很少. 很清晰. 是的, 从低版本的Themida开始调戏是对的.这一篇我写下, 如何定位到IAT的, 下一篇完整分析下..

阅读全文… 

ACProtect v2.1.3版本脱壳.

我还是使用delphi7的例子..首先上来还是找OEP.. 这个OEP被偷的很过分啊, 如果不是使用退出法找到OEP.. 估计其他类似的程序够呛..

当然这个壳的话, 基本上也没有什么难度, 主要难度还是集中在Code Replace, 脱壳很容易, 这个壳没有合并程序的区段, 很容易还原成完整的区段, 另外这个壳没有将IAT加密, IAT也可以很轻易的就dump一份出来. 阅读全文… 

手脱SoftDefender1.12版本壳

我使用加壳软件是:SoftDefender1.12, 还有一个最简单的delphi7程序, 只有一个窗口那种.SoftDefender1.12还是比较恶心的, 很多anti, 一不小心就中招了, 不过总体来说这款壳只能定位成新手练手用的壳.经过不少的曲折终于将这款壳给脱掉.

阅读全文… 

脱一些简单的压缩壳

脱一些简单的压缩壳.

阅读全文… 

各种程序的按钮事件

按钮事件找法

阅读全文…