两个特殊穿山甲壳好样本备份
软件说明:两个特殊穿山甲壳好样本备份:
(1)print2f4.exe、p2fServer.exe是穿山甲9.60版本,无Hwid,单进程;
(2)PIMOne.exe是穿山甲6.62版本,带时间锁,单进程;
样本的安装包来自看雪。里面的两个setup是程序安装包;剩余的三个*_dump_SCY.EXE程序是我脱好了的附件。
浏览看雪的原帖子,实用性不高,可操作性不强,很具有依赖性:而且前提离不开别人给他的ArmAccess.dll劫持,如果别人没给他DLL依赖文件,他自己也无法完成脱壳;
原楼主借助别人写好的dll劫持内存后,修改内存进行脱壳,还要补IAT,很麻烦。一旦遇到特殊样本(高版本双进程+Hwid Lock),基本无法操作。
收集软件样本的时候看到了那个帖子,于是不借助脚本或者其他工具文件,试着自己手脱,已成功。
目前已梳理出了一个实用手脱操作流程,可以处理大部分1.xx-9.xx的x32位的穿山甲单/双进程、有Hwid/无Hwid系列。
软件配图:
标题是否带有本站网址:
否;
病毒查杀截图或链接:无;
附件仅有样本安装包及我脱好的主程序,留作备份:
**** Hidden Message *****
有兴趣的可以自己下载脱壳实验,脱好后,不妨尝试破解主程序。
感谢你的分享 本帖最后由 三斤回锅肉 于 2022-10-23 17:52 编辑
好东西,这样的人就该重点表扬,可以分享下手脱的视频么 感谢你的分享 感谢分享 看看学习一下 感谢boot大佬分享的 看看 感谢分享。 感谢楼主提供,支持一下!!! 谢谢分享!