2012-09的存档

Windows的分页机制

对于Windows的分页机制, 我一直还是比较自信的, 但是今天我发现在重写NewBluePill的X64分页机制到Win32上面的时候, 居然感觉有些棘手, 看来啊, 很多东西还是不是看上去那样简单, 难点主要集中在原来倒腾没有分页的时候, 没有很好的和Windows结合起来, 现在面对着Windows, 感觉有些手生. 而且现在分页机制比原来多了. 原来只倒腾过一种, 最简单的, 现在有PAE, 还有X64的各种.. 搅在一起. 有些恶心.

阅读全文… 

NewBluePill打印系统

最近十一想着不要浪费, 就顺着敲敲NewBluePill的代码吧. 脱壳的话, 又没有什么进展, 表面那层壳好拖, 随便找个脚本就完事了. 自己手工脱也很快, 但是想还原壳的代码, 是一个非常恶心的工作. 要放长线… NewBluePill这边的话结构非常的清晰,而且代码写的很好. 牛人就是牛人. NewBluePill关于VT方面的东西有价值, 但是我觉得这个代码最牛的地方在于内存隐藏方面, 但是这个代码没有公布出来. 我倒.

阅读全文… 

搞定Windbg 串口双机调试

原来一直以为这个挺复杂的, 昨天我去买了串口线, 顺便买了1394的线. 串口线的话买的时候注意说两头都是母口的, 9针口. 母口的话, 就是可 以被插入.. 所以是母.我买的时候才15块.感觉单纯为了这个跑一趟电脑城不划算, 就又带了根1394的回来, 发现没有接口.. 倒.

阅读全文… 

Themida脱壳2(IAT填写代码分析)

今天下午本来兴奋的以为可以拿那个Themida的壳来实验实验Oreans UnVirtualizer. 结果发现还是掉链子啊, 这个工具还是不行. 绝对的不行.还是老实一点, 自己慢慢倒腾吧..

接着中午的弄, 中午搞到IAT表了. 下面就是分析IAT处理的代码了. 首先是这里.

阅读全文… 

Themida 脱壳1(IAT定位)

Themida1.3.5.5已经算是比较旧的版本了吧, 我想这个壳应该可以代表1.3.x以前的比如1.2什么的. 不带驱动的壳. 好吧, 就从它开始. 这个壳确实. VM很少. 很清晰. 是的, 从低版本的Themida开始调戏是对的.这一篇我写下, 如何定位到IAT的, 下一篇完整分析下..

阅读全文… 

ACProtect v2.1.3版本脱壳.

我还是使用delphi7的例子..首先上来还是找OEP.. 这个OEP被偷的很过分啊, 如果不是使用退出法找到OEP.. 估计其他类似的程序够呛..

当然这个壳的话, 基本上也没有什么难度, 主要难度还是集中在Code Replace, 脱壳很容易, 这个壳没有合并程序的区段, 很容易还原成完整的区段, 另外这个壳没有将IAT加密, IAT也可以很轻易的就dump一份出来. 阅读全文… 

手脱SoftDefender1.12版本壳

我使用加壳软件是:SoftDefender1.12, 还有一个最简单的delphi7程序, 只有一个窗口那种.SoftDefender1.12还是比较恶心的, 很多anti, 一不小心就中招了, 不过总体来说这款壳只能定位成新手练手用的壳.经过不少的曲折终于将这款壳给脱掉.

阅读全文… 

脱一些简单的压缩壳

脱一些简单的压缩壳.

阅读全文…