作者datoguo (咕噜)
站内Programming
标题Re: 自己开发的加壳器TYK Packer
时间Wed Jun 6 20:45:29 2007
※ 引述《l71cm (耶 很棒)》之铭言:
: 先给你鼓励一下,这种东西资料不太好找,台湾又没多少人在玩,
: 还有你的说明真的写的不错!!
这方面,台湾方面资源真的很少,对岸比较多。个人孤陋寡闻,所学有限
,让高手见笑了^^
(至於,因为功能太阳春,没有什麽贡献,所以只好硬挤出几项,哈,让
您见笑了,真不好意思XD)
: ※ 引述《datoguo (咕噜)》之铭言:
: : 1. 隐藏原程式入口位址,即OEP(Address Of Entry Point)位址 (又称为
: : RVA位址) ,增加静态逆向工程困难度。
: 并非 "又称为 RVA 位址"
: 还有,这根本没有任何难度
的确!
: : 2. PE格式档案OEP位址窜改侦测 (可用来侦测是否有感染病毒,因为病毒
: : 必需窜改入口位址) 。
: 这侦测真的太天真了...
: 又,病毒并不一定要改 entry point,例如有一招叫 EPO (Entry Point Obscuring)
没错!
: : 3. 所有区段内容窜改侦测 (可用来侦测程式与资料是否有被窜改) 。程
: : 式区段之机械码内容有加密。
: 如上,太天真了
对,哈哈哈~这部份我还在想辨法解决。让您见笑了,真不好意思。而且
我用的简易杂凑演算法也有缺陷,可以被以数学方法破解。
: : 4. 反静态逆向(反组译)工程: 原程式机械码已被加密,载入时才解密。
: : 一般静态逆向工程无法直接分析出正确的机械码 (还原成组合语言)。
: 一般人几乎都用 "动态逆向工程"
没错,专业的加壳软体都以防堵动态逆向工程为主要,但这部份我还在解
决与想辨法。下一版会有嚐试动态保护 (正因动态逆向工程之防治未解决
,故仅设定反静态─我知道我在说天真的废话,哈哈) ,不过下一版可能
会遥遥无期XD
目前加壳软体朝向的是防动态逆向工程,这一部份我做了很多版本,但都
失败或有缺陷,还在努力嚐试中。
: : 5. 支援原程式可透过函数侦测是否被脱壳或窜改。程式设计师可以使用
: : 本软体提供的函数库侦测软体程式是否遭到窜改或被破解。
: 如上,太天真了
: 我只花差不多 3 分钟就搞定了
: 这是 MSVC example 的 脱壳後乱改版
: http://www2.ee.ntu.edu.tw/~b2901051/dumped_2.rar
我自己做的没有很好,功能还很阳春,还再想辨法解决。我自己破自己的
,也是很快就搞定 (动态从记忆体中解密後倾印记忆体内容脱壳~唉) ,
甚至用一些工具一下子就破解了,哈哈哈~还在嚐试动态加解密,以防动
态逆向工程,此部份个人所学有限,愿能与您交流。
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 218.171.230.233
※ 编辑: datoguo 来自: 218.171.230.233 (06/06 21:08)