好友
阅读权限25
听众
最后登录1970-1-1
|
Ruin
发表于 2013-2-4 19:48
本帖最后由 Ruin 于 2013-2-4 23:46 编辑
【本教程由吾爱破解动画区版权】2013 (C)
用到的工具:peid
od
lordpe
importREC
Scrambler变形壳+去效验 UPX变异
PS:没什么值得大家学习的 只有把常见的借用这次大赛分享给大家 让更多人学习 感谢各位师傅的栽培!
可利用API:bp CreateFileA
我们直接看看壳
载入OD看看壳头 是否和UPX相同
..........................................................................
//完全不一样
00CE6BEF > $ 90 nop
00CE6BF0 > 61 popad
00CE6BF1 . BE 0060C600 mov esi,Hiddukel.00C66000
00CE6BF6 . 8DBE 00B079FF lea edi,dword ptr ds:[esi-0x865000]
00CE6BFC . 57 push edi
00CE6BFD . 83CD FF or ebp,-0x1
00CE6C00 . EB 10 jmp short Hiddukel.00CE6C12
00CE6C02 . EB 00 jmp short Hiddukel.00CE6C04
00CE6C04 >^ EB EA jmp short Hiddukel.00CE6BF0
00CE6C06 .^ EB E8 jmp short Hiddukel.00CE6BF0
...........................................................................
脱壳的方法有很多 主要是去效验 就用内存法脱一下 大家学习的脱壳方法有太多太多了
有连脱壳机也行-_-
我们可以利用一个最有智慧的办法去效验 就是 对比。
先脱壳修复 这里我就不多介绍了。
打开后就关闭了
对比下大小
未脱壳:537,600字节
脱壳:9,351m168字节
我们在开一个OD 对比 看看在哪他消失的
ALT+F9 往下走 对比
0041C08F 3D B8350800 cmp eax,0x835B8 十进制=未脱壳的文件大小
修改方法有很多 如改jg=jl 或者修改上面的IF 就是修改文件大小 把他扩大
3D0900
这样2种方法都能实现去掉退出的效验 文件大小对比
更多的思路各位师傅也可以教我.
bye
下载地址:(包含播放器)http://pan.baidu.com/share/link?shareid=276045&uk=3727281120
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
