测压下某保护壳强度
本帖最后由 咖啡茶 于 2022-1-15 01:24 编辑源文件地址:https://wwi.lanzouy.com/i4I6xyjg99c
查毒截图:
关键代码截图:
打码部分为某保护壳保护标志
检测成功状态:
检测失败状态:
相关要求:
1.注意:文件不能改名 必须为“检测.exe”,否则点击按钮会异常。
2.打开后点击按钮会检测OD CE窗口特征 标题名称和类名(包括目录名称)。成功则返回真,失败则返回假+耗时。
3.主要是测试某保护壳保护代码能力强度,比如说测试下能不能把点击按钮后的检测ret,或者直接按钮单击事件ret,并且生成出检测_逆向.exe。
4.测试程序仅保护了按钮单击事件 和 窗口特征检测()这两个子程序 (如上面截图)其他地方均未进行处理(易语言特征 api hook等)所以测压主要针对这两个地方(即这两个子程序代码段内),程序为易语言编写,并没有抹除易语言特征,之前有大佬通过修改易语言特征码达到过检测(点击按钮 存在窗口特征依旧返回假),但与本次测试原意相违背........所以做出一定限制。
提供两个版本:
1.检测.exe(原版,仅添加了需要测压的保护壳)
2.检测[抹除易语言特征版本].exe(原版的基础上利用加强版vmp抹除了部分易语言特征,无其他保护)(如果需要正常测试,也需要改名检测.exe才能正常运行)
2022年1月15日:
补充说明:
看见有大佬发了悬赏杀手视频帖子,但是进去一看却大失所望。
@ajinky
所以这里补充说明几点,其实前面也写的很清楚了。
1.压缩包内有提供两个版本,其中一个的确是加了vmp壳抹除了易语言的相关特征,但是这个不是测压的重点。需要测压的壳并不是vmp壳。大佬帖子中直指加了vmp如果是测试的原版(即检测.exe)我这里很好奇是如何看出有vmp的痕迹的。
2.目的不是为了过检测而过检测。可能是前面说的不太清楚,所以很多大佬一上手就是为了过掉这个检测,却忽视了下面的要求。相关检测仅作为保护壳功能演示用途。(保护的具体情况可以通过下个信息框断点返回保护的代码段内查看)
{:6_225:}如果成功希望可以给出一定加强保护的意见,或者说下有什么地方可以改进,什么方面让你感受到了压力(如果有{:6_221:}) 谢谢楼主分享 阿桂哥 发表于 2022-1-9 07:41
谢谢楼主分享
我怀疑你在灌水 但是没有证据 咖啡茶 发表于 2022-1-9 09:47
我怀疑你在灌水 但是没有证据
嘿嘿嘿,哈哈哈,好好好 这样就可以了是吧?首先我直接运行返回真 手动过 aゞ烛火 发表于 2022-1-9 11:30
这样就可以了是吧?首先我直接运行返回真 手动过
看图暂时看不出改的是什么地方,但是正常情况下返回假时,计时是不可能等于0的,所以猜测只是单纯的修改了返回值?推测可能并没有在保护的代码段中{:5_117:}可以生成出检测_逆向.exe吗
主要是测试某保护壳保护代码能力强度,比如说测试下能不能把点击按钮后的检测ret,或者直接按钮单击事件ret,并且生成出检测_逆向.exe。
测试程序仅保护了按钮单击事件 和 窗口特征检测()这两个子程序 (如上面截图)其他地方均未进行处理(易语言特征 api hook等)所以测压主要针对这两个地方(即这两个子程序代码段内),程序为易语言编写,并没有抹除易语言特征,之前有大佬通过修改易语言特征码达到过检测(点击按钮 存在窗口特征依旧返回假),但与本次测试原意相违背........所以做出一定限制。 aゞ烛火 发表于 2022-1-9 11:30
这样就可以了是吧?首先我直接运行返回真 手动过
生成是没有什么问题的,返回值也确实是给我直接干掉了 如果你硬要我生成呢 那就算了吧毕竟我懒
如果是直接修改返回值,那么就不符合要求{:6_223:}
因为这并不在保护壳的保护范围内,原意是测试保护代码强度而不单纯是过这个检测,检测只是用于演示保护壳的能力。详细操作你可以看下52逆向的同名帖,已经有人给出了解决方法的思路。
谢谢分享,辛苦了! aゞ烛火 发表于 2022-1-9 11:30
这样就可以了是吧?首先我直接运行返回真 手动过
实际上壳的强度在于能否手动干掉,而非直接调试 就例如你写了无敌的检测,不能发挥作用又有何用
这样说的话就属于在杠了 恕我不能认同 已经写的很清楚了 是测试保护壳保护代码的能力 如果大佬硬是要在演示的代码上杠那我无话可说 过掉一个窗口特征检测容易的很 GetDesktopWindow 返回0就行 这也没必要拿出来测压了。
另外 我认为一个壳的好坏不应该以被用于演示的代码来评价,如果大佬你有跟进被保护的代码段就会发现被保护的代码是动态执行的,这也是测压的重点,而不是单纯过一个窗口特征检测。