- 博客(14)
- 收藏
- 关注
RSS订阅原创 自写x86代码变异混淆器及其相关思路
前言作为一个学习/练手的项目,自发写了一个保护x86的exe/dll的变异混淆器(Mutation),类似于CodeVirtualizer的那种(不过CV是VM保护,而且还支持sys)。分别用到了capstone、asmjit和cyxvc大佬的部分库。实现了代码多重变异,代码乱序,jcc指令转换,假分支干扰等功能。相比VMP/TMD的变异保护,强度还可以。但是兼容性比较差,没有考虑程序的异常处理而且没经过大规模测试,可能会有很多bug,仅供参考学习。本文仅分享一下我写Mutation混淆
2021-03-04 11:00:31
1646
原创 最新版Enigma Virtual Box(9.50)虚拟exe文件提取
一直听人吹enigma打包器,什么“可以把exe变成只有4kb大小的tmp文件还能运行”,“防提取exe很强”。我就试了下,1小时09分就提取出来了。先说一下enigma打包器运行虚拟exe的操作:1.对一堆API下钩子,监控各种注册表读取,exe运行的API2.调用这些API时,会经由钩子跳到enigma的代码。3.在C:\Users\Administrator\AppData\Loc...
2020-04-28 22:01:51
3259
原创 Useless系列------给MindMaster“优化”下快捷键
前几天发现了一款名叫MindMaster的思维导图软件,用起来比Xmind舒服很多。但是他们有个很奇怪的地方:部分快捷键不允许修改那我用的就很难受了。本来我用x64dbg和ida,回撤都是用Esc(在键盘左边),现在删除只能是用backspace和del(在键盘右边)。这设计不是反人类吗?本来右手就要拿鼠标操控xy轴,我一个左手还给你跑到右边键盘去按backspace???偏偏还是“删除”...
2020-04-15 00:13:12
305
原创 VMP3.4过虚拟机检测(Win7 x64)
VMP3.12以前可以用网上的通杀方法直接把所有检测都干掉。但是3.2以后修复了这个bug。事实上不论是百度还是谷歌搜索“VMP过虚拟机检测”。出来的都是这个方法,但是很明显。。。这个通杀办法已经对最近几代版本的VMP不奏效了。而“过壳虚拟机”我又找遍了,不论是52的还是学破解的。都过不去vmp3.4的虚拟机检测。没办法,自己研究了1个半小时,把方法弄出来了,但是不完美。。。。。。暂时只...
2020-04-13 17:39:11
9432
1
原创 利用IDA的F5来反VMP2.x的Mutation保护
先说说我对IDA的看法:我怀疑IDA公司有内鬼。我的目的是用IDA的F5来反编译出经过VMP2.x的mutation保护的代码。F5的自动化反混淆很好用,可以清掉vmp2.x的90%的变异代码。但是交互可能是“内鬼”写的,用起来是真的不舒服,各种多管闲事(删了函数又自动创建出来),交互失灵(做了删函数删变量等等操作,graph和f5都没有变化,需要把当前函数删了重新创建才会变化)。用IDA...
2020-04-08 16:19:11
1569
原创 Themida/WinLicense3.0 IAT修复脚本(x64)(x64dbg)
不知道rafael在干什么,3.0的壳完全是倒退。。。3.0的TM/WL没有混淆iat call,还把API代码抽取给删了。API出现的特征代码也不见得加强了多少 修iat最难的就是1.定位API出现的时机2.识别并还原iat call 这里第2难点由于3.0没有混淆iat call,所以不存在。想学习的请看这篇文章及其脚本(用x64dbg单步走脚本...
2020-03-28 22:09:20
4484
原创 WinLicense3.0过KEY时间限制(随笔)
网上也没这方面的资料。所以自己研究了一下直接公布方法1.删注册表项**HKEY_CURRENT_USER\Software\Classes\CcFWSettg.CategoryHKEY_CURRENT_USER\Software\Classes\CertificateAuthority.RequestHKEY_CURRENT_USER\Software\Classes\Compress...
2020-01-25 14:34:16
4334
原创 JEB动态调试找不到Android studio虚拟机进程
Android studio虚拟机已经开了,Android killer也能找到虚拟机。但是唯独jeb动态调试找不到。problem图Make sure that:Your device is connected / emulator is runningThe Android Debug Bridge tool (adb) is installed and accessible.I...
2020-01-01 19:40:14
2649
原创 使用Android killer的一些细节补充
补充这篇文章https://www.52pojie.cn/thread-650395-1-1.html编译时要选择Androidkiller(工具默认是选择的Default,但是编译出来的apk只有22kb,用不了)2.点击“安装”时,提示正在将 Apk 安装到 Android 设备,请稍等…Failure [INSTALL_FAILED_UPDATE_INCOMPATIB...
2019-12-25 23:06:16
1676
原创 Android studio ERROR: Failed to resolve: com.android.support.test.espresso:espresso-core:2.2.2
ERROR: Failed to resolve: com.android.support.test.espresso:espresso-core:2.2.2ERROR: Failed to resolve: com.android.support:appcompat-v7:25.3.1Android studio跑别人的项目,经常会出现这种不匹配的情况。解决方法:1.2.添加mav...
2019-12-25 22:43:58
15827
13
原创 windbg preview(预览版)独立包下载及其双机调试设置
WinDbg Preview1.1910.3003.0下载链接:https://pan.baidu.com/s/1ZpSrSngqW6gPoPo5_rGgAA提取码:o9ko由于我win10上的store一直闪退用不了,遂从室友那里下载copy过来了一份独立版双机调试设置可以看这篇帖子https://www.cnblogs.com/iBinary/p/11401141.html里面写的...
2019-11-26 20:41:07
9787
2
原创 对其他进程写入数据的套路和应对方法(Ring3层)
1.注入dll或者用shellcode,在其他进程内用汇编代码。对其写数据应对方法:对被写数据下硬件写入断点或者内存写入断点(优先硬件断点,内存写入断点以0x1000的页为单位下断点,不精准)2.用WriteProcessMemory写数据应对方法:提前对可疑进程下断此API,或用监控工具分析3.用共享内存(CreateFileMapping、MapViewOfFile)。对自身进程的共享...
2019-11-15 09:15:59
345
原创 逆向?又或者是编程知识——记录一次DLL无法加载的原因
续一下上一篇文章的故事。今天朋友又来找我,说是极少部分Win7用户注入不了DLL,希望我看一下。“极少部分win7用户注入不了DLL”,,,难道是因为他们系统ntdll线程特殊一点,不走ntdll!ZwTestAlert ?不太可能,虽然win7有些版本有补丁,但不太可能影响到r3的ntdll。抱着疑心我还是远程联系他那个用户,开x64dbg调试了看看。嗯,ZwTestAlert上断下来...
2019-10-22 22:34:06
552
原创 逆向随笔——对可以过TP的注入驱动的一次逆向
前言:逆一些东西,有点收获,就写篇随笔记录一下。因为写的随便,就不发看雪了。今天一个朋友给我发了一个说是可以过TP的注入驱动,希望我逆一下看看是什么套路。正文:接收过来压缩包,看了一下loadddll32和64分别是用在32和64的驱动,MemOpe和dnf.exe都是测试用例(不过我是用自己写的123.exe进行测试)。先跑起来,看看线程和模块上有没有什么特别的地方有一个线程P...
2019-10-21 18:45:54
2274
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人