逆向脱壳的存档

Ollvm代码虚拟化Windows编译和使用

网上都是讲怎么样编译Ollvm给Android的二进制文件混淆,我有一个需求是需要在Windows上面使用混淆工具,所以在编译和使用Ollvm的过程中遇到不少坑,,这里记录一下。 首先从以下地址checkout出来代码编译不过去,在win上面提示 /dev/random 无法读...

卸载高版本iTunes,安装低版本iTunes

安装了高版本iTunes之后,再安装低版本会报错,安装不上,这里记录一下安装方法。 开始-运行,输入regedit,打开注册表: 将HKEY_LOCAL_MACHINE — SOFTWARE下面的Apple Computer和Apple Inc,点击右键删除 将HKEY_CURRENT_USER — SOFTWARE 下面...

hashcat暴力破解密码

最近参加看雪的CrackMe挑战赛, 因为我写的CrackMe使用了散列算法. 所以为了测试时间, 在网上发现一个暴力破解密码的好东西, hashcat 刚开始的时候, 我想自己用汇编来写算法, 调用.. 用了最优化的汇编指令, 跑sha512结果还是比hashcat 4倍多.. 看来还...

为什么会有mov edi, edi

原来一直被windows上的一些固定汇编指令搞的有点糊涂, 各种说法其实都有, 比如这个mov edi, edi. 实际这个指令是干什么用的呢? 每个人都有不同的说法, 今天了解到一种比较靠谱的说法! 在VS的安装目录中的listing.inc文件中定义了1到7个字节的无破...

Themida脱壳2(IAT填写代码分析)

今天下午本来兴奋的以为可以拿那个Themida的壳来实验实验Oreans UnVirtualizer. 结果发现还是掉链子啊, 这个工具还是不行. 绝对的不行.还是老实一点, 自己慢慢倒腾吧.. 接着中午的弄, 中午搞到IAT表了. 下面就是分析IAT处理的代码了. 首先是这里. ...

Themida 脱壳1(IAT定位)

Themida1.3.5.5已经算是比较旧的版本了吧, 我想这个壳应该可以代表1.3.x以前的比如1.2什么的. 不带驱动的壳. 好吧, 就从它开始. 这个壳确实. VM很少. 很清晰. 是的, 从低版本的Themida开始调戏是对的.这一篇我写下, 如何定位到IAT的, 下一篇完整分析下.. ...

ACProtect v2.1.3版本脱壳.

我还是使用delphi7的例子..首先上来还是找OEP.. 这个OEP被偷的很过分啊, 如果不是使用退出法找到OEP.. 估计其他类似的程序够呛.. 当然这个壳的话, 基本上也没有什么难度, 主要难度还是集中在Code Replace, 脱壳很容易, 这个壳没有合并程序的区段, 很容...

手脱SoftDefender1.12版本壳

我使用加壳软件是:SoftDefender1.12, 还有一个最简单的delphi7程序, 只有一个窗口那种.SoftDefender1.12还是比较恶心的, 很多anti, 一不小心就中招了, 不过总体来说这款壳只能定位成新手练手用的壳.经过不少的曲折终于将这款壳给脱掉. 首先上来发现...

脱一些简单的压缩壳

脱一些简单的压缩壳. 首先看看一个壳的基本流程 1:保存入口参数, 一般都有这一步了 2:获取外壳所需的地址, 比如LoadLibrary, GetProcAddress 3:解密源程序的各个区块 4:IAT的初始化, 这个所有的壳都必须做的事情, 这一步也是斗争最激烈...

各种程序的按钮事件

按钮事件找法 MFC程序: 方法1: OD命令:bp TranslateMessage MSG==WM_LBUTTONUP 点击按钮以后就断在CALL 到 TranslateMessage函数. 这时候按Ctrl+F9执行到返回,回到USER32领空 77D274F4    E8 FD16FFFF     CALL USER32.TranslateMess...