2012年10月26日Themida 2.1.2.0保护的.net程序的脱壳方法

 用OD加载程序,OD调试设置为“Break on new module(DLL)”,至到mscorlib.dll加载时,记下以下两个值:

00400168    08200000    DD 00002008          ;  COM+ Runtime Header address = 2008

0040016C    48000000    DD 00000048          ;  Import Address Table size = 48 (72.)

...

分类:技术心得  标签:Themida  脱壳  net    网友评论2条  已浏览loading

2012年2月2日VMProtect分析及自动脱壳插件-zeus

From 52pojie.

1.可以分析VM的基本信息,包括解析VM入口信息及handler名,大致是阉割版fkvmp(无解析流程功能)
2.可以自动脱壳vmprotect保护的壳,包括IAT,资源保护,heap antidump等
3.脱壳后,需用UIF跟REC修复,才能实现跨平台。

下载地址:

http://115.com/file/e6tvq3ti#
...

分类:其他资源  标签:VMProtect  脱壳  插件    网友评论0条  已浏览loading

2012年1月15日脱壳破解工具箱

脱壳破解工具箱 UnPacKinG & CrAcKinG TooLs v2o12.o1.13 By RegKiller 完整版

关于版本:

1 本版为完整版

2 以后也许会考虑出个极度精简版.方便虚拟机下使用


关于工具:

1 之前用过的朋友应该都知道了,不过多介绍,这次只是做了下更新.
包括新增和删减了一些工具以及工具箱中的工具分类.
包括更新了已有工具的版本到最新版.工具太多.不一一介绍了

...

分类:其他资源  标签:脱壳  破解  工具箱    网友评论1条  已浏览loading

2010年11月9日ZProtect 1.3 - 1.6 (Decryption + Unpacking)

Author: LCF-AT

ZProtect 1.3 - 1.6 (Decryption + Unpacking) 脱壳

Today I will release two new ZProtect script's which I have written in the past. The first script is a new version of my ZProtect DeCryption script which now also supports ZProtect 1.6 HWID targets. The second script is a ZProtect unpacker script which can unpack the most ZP targets. I also created four movies for you to make it easier and that you also know how to work with the sctips. Four movies with some different targets. In one target I unpack also a double layer with VMP protected ZP HWID file. All in all it should be a good mix for you now. I included the UnpackMe's too of course.

...

分类:加密解密  标签:Zprotect  DeCryption  Unpacking  脱壳    网友评论1条  已浏览loading

2010年10月6日脱壳破解工具箱 UnPacKinG & CrAcKinG TooLs 2o1o v2.4 By RegKiller 20101006

解决 v2.3 版本及之前版本退出时出错的方法:
删除 D:\破解工具箱\音速启动\User50\HotKey.vsh 文件即可。

包中所有工具均来自网络,有些加过壳,有些用到了驱动,还有少数工具用到了 .net 环境,请下载后自行杀毒,信的过我你就把工具路径放到杀软的排除列表中(我自己是这么做的),或关掉杀软再用,否则请打开杀软安装,遇到杀软报毒的请直接删除吧,以后发现缺了什么文件也别来问我。
...

分类:精品软件  标签:脱壳  破解  工具箱    网友评论0条  已浏览loading

2010年9月30日[转]ZProtect 1.6 脱壳

【文章标题】: 手脱街头篮球某外挂 ZProtect 1.6 壳
【文章作者】: 2666fff
【作者邮箱】: wan0001@brauer.vic.edu.au
【软件名称】: 大牛外挂
【下载地址】: 自己搜下
【加壳方式】: Zprotect 1.6
【编写语言】: 易语言
【使用工具】: OD IR LoadPe ZPfixer ZPdump
...

分类:加密解密  标签:Zprotect  脱壳    网友评论1条  已浏览loading

2010年8月28日Zprotect无KEY解码脱壳

转自UPK。By cketop。

注意:
1.猜解出来的解码值要与错误的解码值对齐才是正确的值。
...

分类:加密解密  标签:Zprotect  无KEY  解码  脱壳    网友评论2条  已浏览loading

2010年8月15日[转]Acprotect学习笔记

虽说壳比较老了,但思想还是值得参考的……

By demoscene.

垃圾前言

这个壳早就已经被各位大牛肢解了,而 且也不更新了,现在的软件基本上不会用它来加壳了吧。我写这篇文章只是来过下手瘾

其实Acprotect以前就分析过 了(主要是分析IAT处理),现在写篇文章来作个记录吧。
...

分类:加密解密  标签:Acprotect  脱壳    网友评论0条  已浏览loading

2010年8月14日脱壳时附加数据处理

最近脱个简单的壳,还忙活了好一会,后来发现时附加数据的问题,顺便记录下,给用的着的人作为一些参考。

不明白附加数据是什么的,先Google下吧……

简单说就是查壳时会显示overlay!

ASPack 2.12 -> Alexey Solodovnikov [Overlay]

这种情况脱壳后需要把附加数据补到脱壳修复后的文件尾即可,有工具可以做这个活,当然手动在winhex中操作亦可。找附加数据位置就是最后一个区段完,然后一直到文件尾即为附加数据。

...

分类:技术心得  标签:脱壳  附加数据  处理    网友评论0条  已浏览loading

2010年7月22日[原创]WinLicense 2.1.0.0 脱壳

目标程序是我自己用WinLicense 2.1.0.0加的一个VB程序,保护选项默认。刚开始很灵异,最后换了个OD脱壳才OK……

工具:原版英文OD+StrongOD

用到的脚本是:Themida + WinLicense 1.1.0.0 - 2.1.0.0 Dumper + IAT Repair + CodeEncrypt Repair v2.6.0

OD载入程序,跑脚本,等待……^_

...

分类:技术心得  标签:WinLicense  脱壳    网友评论0条  已浏览loading

2010年3月3日【原创】小分析下bambam脱壳

peid查壳显示 bambam V0.04 -> bedrock   * Sign.By.fly *

脱它很简单,用二次内存断点法即可。或者直接在入口处搜索ret指令,在第二处下断,shift+F9断下后F7就到OEP了^_

小分析下它:

0046B2B0 >  BF 4CD04600     MOV EDI,0046D04C                                            ; 外壳入口
...

分类:技术心得  标签:bambam  脱壳    网友评论0条  已浏览loading

2010年2月28日Obsidium脱壳学习

在看雪精华集里kanxue的一篇好文章,学习^_

标 题: Obsidium外壳学习手记
作 者: kanxue
...

分类:加密解密  标签:Obsidium  脱壳    网友评论1条  已浏览loading

2010年1月20日常用的脱壳方法

1、单步法
   顾名思义:就是一直单步F8、F7走

2、ESP定律法
在关键句的下一行、下ESP断点、
例如: push ebp
       Mov ebp,esp   (注意此时的Esp值变化、转存中跟随到数据窗口、下硬件访问断点-DeWord(双字节))

3、两次内存断点法
   打开内存镜像(Alt+M)、在data段、下内存访问断点。F9运行、再次打开内存镜像、在code(text)段、下内存访问断点、F9运行。此时即可到达OEP

...

分类:加密解密  标签:脱壳  方法    网友评论0条  已浏览loading

2010年1月20日网上流传的秒脱ZProtect方法

其实这个方法很简单,只对\ZProtect 1.4.8.0 demo版有效。

方法就是用exeinfope这个查壳工具中的一个功能选项来秒脱,如图:

 

[脱壳ZProtect 1.4.9.2 记事本默认保护]

...

分类:加密解密  标签:Zprotect  脱壳    网友评论0条  已浏览loading

2010年1月5日关于脱壳后的跨平台问题

有些软件脱壳后在当前系统能运行,但换了系统就不行了,搜索了下资料,大概有这么几种方法:

1、在用ImportREC重建输入表时,选项——新建输入表中的三个选项都不要打勾,这样可以减小出现跨平台问题的概率;

2、早期的ImportREC版本有个BUG(新版应该都修复了):

kernel32!RestoreLastError这个函数在XP以前的系统下是不存在的,而RestoreLastError和SetLastError实际上是同一个函数

...

分类:加密解密  标签:脱壳  跨平台    网友评论0条  已浏览loading