乱序变形工具
本帖最后由 yypE 于 2015-12-10 12:39 编辑______________________
前言:
乱序工具大l4nce几百年前就发了一个,
再加上最近kx上的一位大拿开源了他的VM引擎,基本上我这渣东西就没有任何观看价值了,
发出来仅作记录留(zhuang)恋(bi)
______________________
简介:
1.乱序,可以打乱代码顺序并重新组合,不改变实际执行顺序,稍微增加逆向难度
2.加花指令,在免杀方面也许会有作用,笔者未测试
3.对极极极少数代码的变形,对函数调用中所Push的字符串的变形可以骗过OD中文搜索引擎
4.看了这个工具加出来的东西,可以让你对PE文件充满信心,让自己的破解水平突飞猛进,为自己的人生增添光彩
______________________
主界面:
Start为函数起始地址,
End为末地址,
RetLen是末指令长度(原谅我懒没有做自动识别),
Base为段基址
______________________
测试:
笔者拿来吾爱2014CM大赛两位大牛的C源码用VC6.0Release出来的做测试
海风CM原算法入口点流程:
乱序后:
跑起来正常。
Nooby神的原CM算法入口:
之后原入口:
乱序后函数某一段:
IDA GView(乱序前):
IDA GView(乱序后):
跑起来正常。
忍不住无条件地膜拜一下NB海风
______________________
注意:
1.作者太懒,程序没有标准化,你甚至可以打开一个JPG文件,笔者也没有设置错误处理,仅仅在当遇到不能成功反汇编的时候才会弹出相关提示,有各种问题还请海涵;
2.函数地址列表不提供删除功能,如果要清空列表地址,重新打开目标EXE即可;
3.由于我对PE结构望洋兴叹,目前仅对VC6以及少数0x1000对齐的编译器Release出来的exe(易语言静态编译)支持,因此海风与NB两位前辈的原CM都不能通过加密(NB的不解释了;海风的原CM也是他自己改过的编译器编译出来的,海风的编译器很霸气,虽然能正确识别区段不过代码已经是乱过的了,用我的这个渣引擎跑了N久没有结果出来,干脆算了罢)
4.最好保证加密EXE目标函数段能够在OD里头反汇编清楚,因为反汇编用的是OD的开源引擎(这个引擎真闹心,不过还是用了,有识别错误的很正常);
5.没有了
=========华丽的分割线=========
工具为BETA版,遇到低级错误还望反馈,感谢=.=
对于这坨屎来说,目前测试成功的只有易语言和VC6,不支持其他的编译工具,想玩的玩玩儿,嘎嘎
Download Links:
http://yunpan.cn/cHJJemaIWNMeI (提取码:548e)
yypE 发表于 2015-9-19 22:38
太远......
故不积跬步,无以至千里;不积小流,无以成江海。骐骥一跃,不能十步;驽马十驾,功在不舍。锲而舍之,朽木不折;锲而不舍,金石可镂。蚓无爪牙之利,筋骨之强,上 食 埃 土 ,下 饮 黄 泉 ,用 心 一也。蟹六跪而二螯,非蛇鳝之穴无可寄托者,用心躁也。{:301_997:}大牛加油,期待你开发出新一代VMP 本帖最后由 yypE 于 2015-9-21 18:05 编辑
Hmily 发表于 2015-9-21 12:07
不错哦,我随便加了一个崩溃了。。。
您试试易语言静态编译的 或者VCRelease的
而且代码里头有这种动态的都行不通,没去研究了{:1_926:}
兼容不好,好像就没什么用了。。。用来加CM玩玩还是阔以的 :)
支持一下楼主 大牛再搞个VM然后就可以秒杀VMP了{:301_993:} 膜拜 大婶啊 闲月疏云 发表于 2015-9-19 22:30
大牛再搞个VM然后就可以秒杀VMP了
太远...... 幾百年的那個是LanceUpx{:1_907:}
xiaoweime 的 是WProtect
很好 就是不会呀呵呵 相当于出租车司机带你绕远路.... 不错哦,我随便加了一个崩溃了。。。