2012-09的存档

Windows的分页机制

2012-09-26 07:17:09

对于Windows的分页机制, 我一直还是比较自信的, 但是今天我发现在重写NewBluePill的X64分页机制到Win32上面的时候, 居然感觉有些棘手, 看来啊, 很多东西还是不是看上去那样简单, 难点主要集中在原来倒腾没有分页的时候, 没有很好的和Windows结合起来, 现在面对着Windows, 感觉有些手生. 而且现在分页机制比原来多了. 原来只倒腾过一种, 最简单的, 现在有PAE, 还有X64的各种.. 搅在一起. 有些恶心.

阅读全文…

NewBluePill打印系统

2012-09-25 05:56:21

最近十一想着不要浪费, 就顺着敲敲NewBluePill的代码吧. 脱壳的话, 又没有什么进展, 表面那层壳好拖, 随便找个脚本就完事了. 自己手工脱也很快, 但是想还原壳的代码, 是一个非常恶心的工作. 要放长线… NewBluePill这边的话结构非常的清晰,而且代码写的很好. 牛人就是牛人. NewBluePill关于VT方面的东西有价值, 但是我觉得这个代码最牛的地方在于内存隐藏方面, 但是这个代码没有公布出来. 我倒.

阅读全文…

搞定Windbg 串口双机调试

2012-09-17 07:56:05

原来一直以为这个挺复杂的, 昨天我去买了串口线, 顺便买了1394的线. 串口线的话买的时候注意说两头都是母口的, 9针口. 母口的话, 就是可 以被插入.. 所以是母.我买的时候才15块.感觉单纯为了这个跑一趟电脑城不划算, 就又带了根1394的回来, 发现没有接口.. 倒.

阅读全文…

Themida脱壳2(IAT填写代码分析)

2012-09-13 09:07:24

今天下午本来兴奋的以为可以拿那个Themida的壳来实验实验Oreans UnVirtualizer. 结果发现还是掉链子啊, 这个工具还是不行. 绝对的不行.还是老实一点, 自己慢慢倒腾吧..

接着中午的弄, 中午搞到IAT表了. 下面就是分析IAT处理的代码了. 首先是这里.

阅读全文…

Themida 脱壳1(IAT定位)

2012-09-13 01:51:23

Themida1.3.5.5已经算是比较旧的版本了吧, 我想这个壳应该可以代表1.3.x以前的比如1.2什么的. 不带驱动的壳. 好吧, 就从它开始. 这个壳确实. VM很少. 很清晰. 是的, 从低版本的Themida开始调戏是对的.这一篇我写下, 如何定位到IAT的, 下一篇完整分析下..

阅读全文…

ACProtect v2.1.3版本脱壳.

2012-09-07 04:33:29

我还是使用delphi7的例子..首先上来还是找OEP.. 这个OEP被偷的很过分啊, 如果不是使用退出法找到OEP.. 估计其他类似的程序够呛..

当然这个壳的话, 基本上也没有什么难度, 主要难度还是集中在Code Replace, 脱壳很容易, 这个壳没有合并程序的区段, 很容易还原成完整的区段, 另外这个壳没有将IAT加密, IAT也可以很轻易的就dump一份出来. 阅读全文…

手脱SoftDefender1.12版本壳

2012-09-06 06:04:13

我使用加壳软件是:SoftDefender1.12, 还有一个最简单的delphi7程序, 只有一个窗口那种.SoftDefender1.12还是比较恶心的, 很多anti, 一不小心就中招了, 不过总体来说这款壳只能定位成新手练手用的壳.经过不少的曲折终于将这款壳给脱掉.

阅读全文…

脱一些简单的压缩壳

2012-09-06 06:03:06

脱一些简单的压缩壳.

阅读全文…