官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - 52pojie.cn»网站 【 软件安全 】 『脱壳破解区』 Safengine Shielden 2.3.8.0 脱壳 之 为了能下断
12345678910下一页
返回列表 发新帖
查看: 45161|回复: 99
收起左侧

[原创] Safengine Shielden 2.3.8.0 脱壳 之 为了能下断

  [复制链接]
xiaohang99
xiaohang99 发表于 2017-4-11 09:43
本帖最后由 xiaohang99 于 2017-4-12 22:36 编辑

最近又在论坛上看到不少人求Safengine Shielden (以下称SE)的脱壳方法,其实之前论坛里的几位大牛都已经放出过不少牛文,虽然这些牛文是对应老版本的SE的,文中附带的代码可能已经失效,但是里面的方法确实在新版本中依然有效的,可能大神们对自己思路的阐述过于跳跃了,所以难免让新人们有些跟不上。在这里,我把我对大牛们的思路理解放上来,以供参考吧。SE 2.3.8.0目前已知的最大反调试手段就是anti断点,主要是anti了硬件断点和int3软断点,加壳后无法对被加壳的程序下断,客观上提高了脱壳的难度,所以第一步是要想办法把anti断点去掉。
我的思路
int3软断点的anti必然是基于内存效验的方法(int3软断点需要修改内存代码),对壳代码进行hash效验保护,如若发现内存有被修改,则结束进程。如果要patch掉内存hash效验,必须知道hash代码的位置,由于SE的垃圾混淆代码很多,更本不可能通过搜索的方式获取,最好的办法就是用硬件断点下一个读取断,所以问题就是要先修复硬件断点。
对于硬件断点,SE采用的是先通过SetThreadContext设置四个DRx寄存器为1byte读取特定地址的断点,然后通过在虚拟机中构造读取特定地址以产生异常,再用SEH handler处理异常,并检测DRx寄存器的值。如果该产生异常的时候没有产生异常,又或者DRx的值不为先前SetThreadContext设定的值,那么就退出进程。
         对于内存断点反anti,暂时没有思路,还需要继续研究。
处理过程
先获取SEDRx设置的值。
1、先在KiUserExceptionDispatcher下断
2、断下两次后记录
[Asm] 纯文本查看 复制代码
?
1
[esp+0x14] = 0012F7FC   00E8A7CA  unpackme.00E8A7CA  //异常产生的位置,就是后面的vm:ds[imm]位置


3CPU窗口中显示调试寄存器
         DR0 =00E57016
         DR1 =00E57000
         DR2 =00E57004
         DR3 = 00E57008
         DR7 = 33330555
Patch  Shadow_CreateThread
由于SE会产生数个线程来进行反调试检测,内存完整性检测等,为了减少干扰项,把SE创建的检测线程先patch掉,不让他启动,可能会对后面的程序运行有副作用,但是便于我一开始的脱壳调试。
         PS: SE会把NTDLL.dll krenel32.dll中的一些代码Shadow到一段自己分配的空间中,所以需要利用内存搜索的方法,搜索特定代码找到这些被ShadowAPI
  • 先在KiUserExceptionDispatcher下断
  • 第一次断下后,搜索特征代码

#8BFF558BECFF751CFF7518FF7514FF7510FF750CFF75086AFFE8????????5DC21800#
搜索到的代码:
                           
[Asm] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
00D1FB55   8BFF         mov   edi, edi     ;改成 ret 18
00D1FB57   55           push  ebp
00D1FB58   8BEC         mov   ebp, esp
00D1FB5A   FF75 1C      push  dword ptr [ebp+1C]
00D1FB5D   FF75 18      push  dword ptr [ebp+18]
00D1FB60   FF75 14      push  dword ptr [ebp+14]
00D1FB63   FF75 10      push  dword ptr [ebp+10]
00D1FB66   FF75 0C      push  dword ptr [ebp+C]
00D1FB69   FF75 08      push  dword ptr [ebp+8]
00D1FB6C   6A FF        push  -1
00D1FB6E   E8 D9FDFFFF  call  00D1F94C
00D1FB73   5D           pop   ebp
00D1FB74   C2 1800      ret   18

  • 修改函数开头位置为ret1800D1FB55   8BFF        mov   edi, edi      ;改成 ret 18


Patch Shadow_GetThreadContext
         SE会调用Shadow_GetThreadContext来检测是否存在调试软件下的硬件断点,如果有就会退出进程。
  • 在刚才搜索到Shadow_CreateThread的内存段内搜索特征代码:

#8BFF558BECFF750CFF7508FF15????????85C00F8C??????0033C0405DC208009090909090#
搜索到的代码:
[Asm] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
01888ABF    8BFF            mov     edi, edi
01888AC1    55              push    ebp
01888AC2    8BEC            mov     ebp, esp
01888AC4    FF75 0C         push    dword ptr [ebp+C]
01888AC7    FF75 08         push    dword ptr [ebp+8]
01888ACA    FF15 9E088501   call    dword ptr [185089E] //获取这里地址
01888AD0    85C0            test    eax, eax
01888AD2    0F8C 89B20000   jl      01893D61
01888AD8    33C0            xor     eax, eax
01888ADA    40              inc     eax
01888ADB    5D              pop     ebp
01888ADC    C2 0800         retn    8


  • 如果直接修改以上代码会被SE检测到,我的方法是inline hook 函数调用KiFastSystemCall之前的地址(壳另外加载了一块内存)      

[Asm] 纯文本查看 复制代码
?
1
2
3
4
5
6
01888ACA    FF15 9E088501   call    dword ptr [185089E] //获取这里地址
//获取到的地址标准的ntdll.ZwGetContextThread调用
0169C597    B8 55000000     mov     eax, 55 //服务号
0169C59C    BA 00005901     mov     edx, 00390000 //这里改成我自己分配的空间
0169C5A1    FFE2            jmp     edx//跳到我自己分配的空间执行
0169C5A3    C2 0800         retn    8



//我构造的代码
[Asm] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
00390000    B8 55000000     mov     eax, 55
00390005    BA 0003FE7F     mov     edx, 7FFE0300
0039000A    FF12            call    dword ptr [edx]
0039000C    50              push    eax
0039000D    8B4424 0C       mov     eax, dword ptr [esp+C]
00390011    8038 10         cmp     byte ptr [eax], 10
00390014    75 16           jnz     short 0039002C
00390016    33D2            xor     edx, edx
00390018    8950 04         mov     dword ptr [eax+4], edx
0039001B    8950 08         mov     dword ptr [eax+8], edx
0039001E    8950 0C         mov     dword ptr [eax+C], edx
00390021    8950 10         mov     dword ptr [eax+10], edx
00390024    52              push    edx
00390025    6A 06           push    6
00390027    E8 299C477C     call    kernel32.TlsSetValue
0039002C    58              pop     eax
0039002D    C2 0800         retn    8


  壳总是会判断这 TlsValue 是否等于 Dr0+Dr1+Dr2+Dr3 Total
  我们在壳欲取得 Drx 的值时,将之清为 0,并设 TlsValue 0

  至于 SetTlsValue Index 应为多少才对, 很多方法可以得知.
例如断 Shadow SetTlsValue ,XP SP2 用的 Index 4 , XP SP3 则是 6

Hook ExecuteHandler2
         这里是重头戏,反anti 硬件断点必须从这里开始,由于壳会检测异常信息中的DRx寄存器,所以我们必须在SE SEH handler被调用前,给_CONTEXT结构中的DRx赋予之前获得的特定值。
_CONTEXT结构如下:
typedef struct _CONTEXT
{
    DWORD ContextFlags;
    DWORD   Dr0;
    DWORD   Dr1;
    DWORD   Dr2;
    DWORD   Dr3;
    DWORD   Dr6;
    DWORD   Dr7;
    FLOATING_SAVE_AREA FloatSave;
    DWORD   SegGs;
    DWORD   SegFs;
    DWORD   SegEs;
    DWORD   SegDs;
    DWORD   Edi;
    DWORD   Esi;
    DWORD   Ebx;
    DWORD   Edx;
    DWORD   Ecx;
    DWORD   Eax;
    DWORD   Ebp;
    DWORD   Eip;
    DWORD   SegCs;
    DWORD   EFlags;
    DWORD   Esp;
    DWORD   SegSs;
}CONTEXT;

typedef struct _FLOATING_SAVE_AREA
{
    ULONG ControlWord;
    ULONG StatusWord;
    ULONG TagWord;
    ULONG ErrorOffset;
    ULONG ErrorSelector;
    ULONG DataOffset;
    ULONG DataSelector;
    UCHAR RegisterArea[80];
    ULONG Cr0NpxState;
} FLOATING_SAVE_AREA, *PFLOATING_SAVE_AREA;

  • NTDLL.dllCODE段中搜索特征码

#558BECFF750C5264FF350000000064892500000000FF7514FF7510FF750CFF75#
搜索到的代码:
[Asm] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
.text:7C923282                 push    ebp
.text:7C923283                 mov     ebp, esp
.text:7C923285                 push    [ebp+arg_4]
.text:7C923288                 push    edx            ; 如果定义的异常处理handle中出错,这个handle是最终处理者
.text:7C923289                 push    large dword ptr fs:0
.text:7C923290                 mov     large fs:0, esp
.text:7C923297                 push    [ebp+arg_C]
.text:7C92329A                 push    [ebp+arg_8]
.text:7C92329D                 push    [ebp+arg_4]
.text:7C9232A0                 push    [ebp+arg_0]
.text:7C9232A3                 mov     ecx, [ebp+arg_10]
.text:7C9232A6                 call    ecx            ; _except_handler(
.text:7C9232A6                                        ;     struct _EXCEPTION_RECORD *ExceptionRecord,
.text:7C9232A6                                        ;     void * EstablisherFrame,
.text:7C9232A6                                        ;     struct _CONTEXT *ContextRecord,
.text:7C9232A6                                        ;     void * DispatcherContext )
.text:7C9232A8                 mov     esp, large fs:0
.text:7C9232AF                 pop     large dword ptr fs:0
.text:7C9232B6                 mov     esp, ebp
.text:7C9232B8                 pop     ebp
.text:7C9232B9                 retn    14h


  • 构造inline hook 代码

[Asm] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
[/font][/color]
[color=black]/[/color][color=black]/ hook executehandler2
7C99AFC0    E8 00000000     call    7C99AFC5
7C99AFC5    5B              pop     ebx
7C99AFC6    83EB 05         sub     ebx, 5 
7C99AFC9    81EB 00060000   sub     ebx, 600   //减出myexceptionhandle的地址
7C99AFCF    3B8B FC0F0000   cmp     ecx, dword ptr [ebx+FFC] //比较是否是SE的SEHhandler
7C99AFD5    75 02           jnz     short 7C99AFD9
7C99AFD7    8BCB            mov     ecx, ebx //是的话就HOOK,否则放过
7C99AFD9    33DB            xor     ebx, ebx
7C99AFDB    FFD1            call    ecx
7C99AFDD    64:8B25 0000000>mov     esp, dword ptr fs:[0]
7C99AFE4    64:8F05 0000000>pop     dword ptr fs:[0]
7C99AFEB    8BE5            mov     esp, ebp
7C99AFED    5D              pop     ebp
7C99AFEE    C2 1400         retn    14


E8 00 00 00 00 5B 83 EB 05 81 EB 00 0600 00 3B 8B FC 0F 00 00 75 02 8B CB 33 DB FF D1 64 8B 2500 00 00 00 64 8F 05 00 00 00 00 8B E55D C2 14

[Asm] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
// myexceptionhandle
00401000    60              pushad
00401001    E8 00000000     call    00401006
00401006    5B              pop     ebx
00401007    83EB 06         sub     ebx, 6
0040100A    81C3 00080000   add     ebx, 800
00401010    8BFB            mov     edi, ebx
00401012    8B7424 24       mov     esi, dword ptr [esp+24] //pExceptionRecord
00401016    B9 06000000     mov     ecx, 6
0040101B    F3:A5           rep     movs dword ptr es:[edi], dword ptr [esi]
0040101D    8BFB            mov     edi, ebx
0040101F    83C7 30         add     edi, 30
00401022    8B7424 2C       mov     esi, dword ptr [esp+2C] //pContextRecord
00401026    B9 18000000     mov     ecx, 18
0040102B    F3:A5           rep     movs dword ptr es:[edi], dword ptr [esi]
0040102D    8B83 90000000   mov     eax, dword ptr [ebx+90]
00401033    8D8B A0000000   lea     ecx, dword ptr [ebx+A0]
00401039    C1E0 02         shl     eax, 2
0040103C    03C8            add     ecx, eax
0040103E    8B7424 24       mov     esi, dword ptr [esp+24]
00401042    8B46 0C         mov     eax, dword ptr [esi+C]
00401045    8901            mov     dword ptr [ecx], eax
00401047    FF83 90000000   inc     dword ptr [ebx+90]
0040104D    8D7B 30         lea     edi, dword ptr [ebx+30]
00401050    8B83 E8070000   mov     eax, dword ptr [ebx+7E8] //这里考虑可以在hook setthreadcontext中赋值[/color]
[color=black]
015A0056    8947 04         mov     dword ptr [edi+4], eax
015A0059    8B83 EC070000   mov     eax, dword ptr [ebx+7EC]
015A005F    8947 08         mov     dword ptr [edi+8], eax
015A0062    8B83 F0070000   mov     eax, dword ptr [ebx+7F0]
015A0068    8947 0C         mov     dword ptr [edi+C], eax
015A006B    8B83 F4070000   mov     eax, dword ptr [ebx+7F4]
015A0071    8947 10         mov     dword ptr [edi+10], eax
015A0074    8B83 F8070000   mov     eax, dword ptr [ebx+7F8]
015A007A    8947 18         mov     dword ptr [edi+18], eax
015A007D    8B4424 30       mov     eax, dword ptr [esp+30]
015A0081    8B4C24 28       mov     ecx, dword ptr [esp+28]
015A0085    8D7B 30         lea     edi, dword ptr [ebx+30]
015A0088    50              push    eax
015A0089    57              push    edi
015A008A    51              push    ecx
015A008B    53              push    ebx
015A008C    8B8B FC070000   mov     ecx, dword ptr [ebx+7FC]
015A0092    33C0            xor     eax, eax
015A0094    33DB            xor     ebx, ebx
015A0096    33FF            xor     edi, edi
015A0098    33F6            xor     esi, esi
015A009A    FFD1            call    ecx
015A009C    61              popad
015A009D    C3              retn
60 E8 00 00 00 00 5B 83 EB 06 81 C3 0008 00 00 8B FB 8B 74 24 24 B9 06 00 00 00 F3 A5 8B FB 83 C7 30 8B 74 24 2C B9 18 00 00 00 F3 A58B 83 90 00 00 00 8D 8B A0 00 00 00 C1 E0 02 03 C8 8B 7424 24 8B 46 0C 89 01 FF 83 90 00 00 008D 7B 30 8B 83 E8 07 00 00 89 47 04 8B 83 EC 07 00 00 8947 08 8B 83 F0 07 00 00 89 47 0C 8B 83F4 07 00 00 89 47 10 8B 83 F8 07 00 00 89 47 18 8B 44 2430 8B 4C 24 28 8D 7B 30 50 57 51 53 8B8B FC 07 00 00 33 C0 33 DB 33 FF 33 F6 FF D1 61 C3 00 00
  • Inline Hook ExecuteHandler2Hook在这里.text:7C9232A6                 call    ecx   改Jmp to // hook executehandler2


Patch vm:ds[imm]
         这个地址是前面已经找到的,由于暂时还没找到HASH检测的代码位置,所以不能直接改代码,我的方法是,用脚本在这个位置上设置一个硬件执行断点在,当脚本断下后,脚本自动修改代码跳转到我们自己分配的空间内执行一段代码,在代码的开头立即修复之前被脚本改掉的代码,然后产生一个single step异常给系统,再执行之前由于改成跳转没有执行到的程序源码后跳转到原程序下一行继续。
         这个方法是确定是要被占用一个硬件断点。
以下是我构造的代码:
[Asm] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
//跳转来自0E8A7C8
00390100    60              pushad
00390101    BE 00023900     mov     esi, 390200
00390106    BF C8A7E800     mov     edi, 0E8A7C8
0039010B    B9 05000000     mov     ecx, 5
00390110    F3:A4           rep     movs byte ptr es:[edi], byte ptr [esi] //还原ds[imm]被我修改用来跳转的代码
00390112    61              popad
00390113    9C              pushfd                     \
00390114    66:810C24 0001  or      word ptr [esp], 100    3条指令用来产生一个80000004 的 EXCEPTION_SINGLE_STEP
0039011A    9D              popfd                      /    就是通过符号位中的单步标记来产生一个异常
0039011B    8B10            mov     edx, dword ptr [eax]  --读取数值,由于硬件执行断点的那行没有执行
0039011D  - E9 A8A6AF00     jmp     乔巴.00E8A7CA      --返回执行下一行代码


Patch Shadow_SetThreadContext
  为了防止硬件断点被覆盖,这个Shadow函数必须Patch掉,当然,如果前面的部分没有Patch 而直接来改这个函数,SE就不会获得需要检测的异常,造成程序的退出。
1、搜索代码
通过之前patch Shadow_GetThreadContext获得的调用KiFastSystemCall前代码区域,查找调用服务号为0D5 的调用,

  • 修改代码只需要把跳入KiFastSystemCall的位置直接nop掉就行

FFE2            jmp     edx// 这里是跳入KiFastSystemCall,直接nop

PatchHASH 计算
         通过上面几步,现在我可以下硬件断点了,能断下来的第一件事,当然是找HASH效验代码。
  • 在前面vm:ds[imm]的位置后面几行下个硬件读取断点断下之后:

[Asm] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
[font=Calibri][color=#000000].sedata:00E6323F                 push    esi
.sedata:00E63240[/color][/font]
[font=Calibri][color=#000000].sedata:00E63240 loc_E63240:                            ; CODE XREF: .sedata:00E6324Ej
.sedata:00E63240                 movzx   esi, byte ptr [ecx+edx]
.sedata:00E63244                 rol     eax, 7 //断在这里
.sedata:00E63247                 xor     eax, esi
.sedata:00E63249                 inc     ecx[/color][/font]
[font=Calibri][color=#000000].sedata:00E6324A                 cmp     ecx, [esp+8]
.sedata:00E6324E                 jb      short loc_E63240
.sedata:00E63250                 pop     esi
.sedata:00E63251                 jmp     short locret_E6325C


  • Run Trace 获得整个循环体,直接找到跳出循环的位置来到这里:

[Asm] 纯文本查看 复制代码
?
1
2
3
4
00E63247 Main     xor     eax, esi                         ; FL=PZ, EAX=F4E889ED, ECX=00093F9F, ESI=000000D0[/font][/color]
[color=#000000][font=Calibri]00E63250 Main     pop     esi                               ; ESP=0012FEC8, ESI=F4E889ED
00E63251 Main     jmp     short 00E6325C
00E6325C Main     retn    4                                 ; ESP=0012FED0            //hash 值保存在eax


  • 重新加载几次之后,发现HASH计算的参数和结果是不变的,我只能说,呵呵

检测开始位置:0E7C91D
检测大小:       0093F9F
返回EAX    F4E889ED
         
  • 偷懒直接patch
//------ Fix HASH------
[Asm] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
00E63240    B8 ED89E8F4     mov     eax, F4E889ED
00E63245    90              nop
00E63246    90              nop
00E63247    90              nop
00E63248    90              nop
00E63249    90              nop
00E6324A    90              nop
00E6324B    90              nop
00E6324C    90              nop
00E6324D    90              nop
00E6324E    90              nop
00E6324F    90              nop

免费评分

参与人数 46吾爱币 +48 热心值 +45 收起 理由
whdfog + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
fruitg + 1 + 1 谢谢@Thanks!
wsbhdxs + 1 + 1 我很赞同!
真心等待 + 1 + 1 热心回复!
welcome7758521 + 1 热心回复!
思藐 + 1 谢谢@Thanks!
610100 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
a951820421 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
青莲剑哥 + 1 + 1 我很赞同!
ccm5085 + 1 + 1 热心回复!
龙飞雪 + 3 + 1 用心讨论,共获提升!
lmze2000 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
逢年过节不喝酒 + 1 + 1 谢谢@Thanks!
hrt5 + 1 热心回复!
lapop + 1 + 1 我很赞同!
wcj1997 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
dannyzhou + 1 + 1 谢谢@Thanks!
独行风云 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
soyiC + 1 我很赞同!
longchaochun + 1 + 1 用心讨论,共获提升!
WOO123 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
sdaq1000 + 1 + 1 我很赞同!
burn + 1 + 1 用心讨论,共获提升!
peter_king + 1 谢谢@Thanks!
ixiaosha + 1 + 1 用心讨论,共获提升!
仙峰涯 + 1 + 1 用心讨论,共获提升!
starcollect + 1 + 1 我很赞同!
MagicnoBob + 1 + 1 谢谢@Thanks!
ccn1974 + 1 + 1 热心回复!
海底总动员 + 1 + 1 我很赞同!
吾要开始学习ing + 1 + 1 我很赞同!
Tabeian + 1 + 1 热心回复!
hejialong + 1 谢谢@Thanks!
虚无空幻 + 1 + 1 看到此贴,放弃编程,真tm得死多少脑细胞
superlukia + 1 + 1 谢谢@Thanks!
文可う润心 + 1 + 1 谢谢@Thanks!
jgs + 1 + 1 谢谢@Thanks!
laodaoWULITOU + 1 + 1 谢谢@Thanks!
xiaodou + 1 + 1 我很赞同!
珍惜幸福涙 + 1 + 1 用心讨论,共获提升!
守护神艾丽莎 + 1 + 1 已答复!
飞鸽传书 + 1 + 1 我很赞同!
whyida + 2 + 1 好文!
chinasmu + 2 + 1 好文,分都给你了
凉游浅笔深画眉 + 3 + 1 好文,分都给你了
shiliguo3285 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

weiwj520
weiwj520 发表于 2018-3-16 20:13
Sound 发表于 2017-4-14 15:39
不错不错 自从手动解决比较麻烦后 现在一般都是跑脚本 。

大佬,请指教哪里有破se反断点脚本?
最近一段时间,一直在研究这个帖子,看了不下二十遍,无奈基础还是欠缺,还是没法完全读懂。
请求指点迷津!!!
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持

举报

Some
Some 发表于 2017-4-13 09:27
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
xiaohang99 发表于 2017-4-12 22:34
样本我也想上传,可惜太大,压缩好有50mb,没办法,个人等级太低

可以使用网盘,如 微云,百度云
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

mayl8822
mayl8822 发表于 2017-4-11 10:16
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
66666666666666谢谢分享, 学习了
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

imtom123
imtom123 发表于 2017-4-11 11:57
太神啦 谢谢楼主
如何快速判断一个文件是否为病毒!
回复 支持

举报

Some
Some 发表于 2017-4-11 12:36
可以提供样本么?提高针对性,
回复 支持

举报

无痕软件
无痕软件 发表于 2017-4-11 12:47
好文!!
回复 支持

举报

huzhongyang
huzhongyang 发表于 2017-4-11 14:24
好文!!好文!!好文!!
回复 支持

举报

xiaodou
xiaodou 发表于 2017-4-11 16:25
好文~这必须支持下~~mark~
回复 支持

举报

gunxsword
gunxsword 发表于 2017-4-11 16:36
这都是牛人啊!
回复 支持

举报

he5888
he5888 发表于 2017-4-11 19:27
这都是牛人啊!
回复 支持

举报

心平气和123
心平气和123 发表于 2017-4-11 19:37
都是牛人啊!我看这些太多看不懂的。
回复 支持

举报

下一页 »
12345678910下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2025-4-15 15:21

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表