2012-09的存档

Windows的分页机制

对于Windows的分页机制, 我一直还是比较自信的, 但是今天我发现在重写NewBluePill的X64分页机制到Win32上面的时候, 居然感觉有些棘手, 看来啊, 很多东西还是不是看上去那样简单, 难点主要集中在原来倒腾没有分页的时候, 没有很好的和Windows结合起来, 现在...

NewBluePill打印系统

最近十一想着不要浪费, 就顺着敲敲NewBluePill的代码吧. 脱壳的话, 又没有什么进展, 表面那层壳好拖, 随便找个脚本就完事了. 自己手工脱也很快, 但是想还原壳的代码, 是一个非常恶心的工作. 要放长线... NewBluePill这边的话结构非常的清晰,而且代码写的很...

搞定Windbg 串口双机调试

原来一直以为这个挺复杂的, 昨天我去买了串口线, 顺便买了1394的线. 串口线的话买的时候注意说两头都是母口的, 9针口. 母口的话, 就是可 以被插入.. 所以是母.我买的时候才15块.感觉单纯为了这个跑一趟电脑城不划算, 就又带了根1394的回来, 发现没有接口.....

Themida脱壳2(IAT填写代码分析)

今天下午本来兴奋的以为可以拿那个Themida的壳来实验实验Oreans UnVirtualizer. 结果发现还是掉链子啊, 这个工具还是不行. 绝对的不行.还是老实一点, 自己慢慢倒腾吧.. 接着中午的弄, 中午搞到IAT表了. 下面就是分析IAT处理的代码了. 首先是这里. ...

Themida 脱壳1(IAT定位)

Themida1.3.5.5已经算是比较旧的版本了吧, 我想这个壳应该可以代表1.3.x以前的比如1.2什么的. 不带驱动的壳. 好吧, 就从它开始. 这个壳确实. VM很少. 很清晰. 是的, 从低版本的Themida开始调戏是对的.这一篇我写下, 如何定位到IAT的, 下一篇完整分析下.. ...

ACProtect v2.1.3版本脱壳.

我还是使用delphi7的例子..首先上来还是找OEP.. 这个OEP被偷的很过分啊, 如果不是使用退出法找到OEP.. 估计其他类似的程序够呛.. 当然这个壳的话, 基本上也没有什么难度, 主要难度还是集中在Code Replace, 脱壳很容易, 这个壳没有合并程序的区段, 很容...

手脱SoftDefender1.12版本壳

我使用加壳软件是:SoftDefender1.12, 还有一个最简单的delphi7程序, 只有一个窗口那种.SoftDefender1.12还是比较恶心的, 很多anti, 一不小心就中招了, 不过总体来说这款壳只能定位成新手练手用的壳.经过不少的曲折终于将这款壳给脱掉. 首先上来发现...

脱一些简单的压缩壳

脱一些简单的压缩壳. 首先看看一个壳的基本流程 1:保存入口参数, 一般都有这一步了 2:获取外壳所需的地址, 比如LoadLibrary, GetProcAddress 3:解密源程序的各个区块 4:IAT的初始化, 这个所有的壳都必须做的事情, 这一步也是斗争最激烈...