吾爱汇编论坛

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 2865|回复: 21

[CrackMe] 测压下某保护壳强度

[复制链接]

  离线 

升级   80%

咖啡茶 发表于 2022-1-9 00:04 | 显示全部楼层 |阅读模式


50HB
本帖最后由 咖啡茶 于 2022-1-15 01:24 编辑

源文件地址:https://wwi.lanzouy.com/i4I6xyjg99c

查毒截图: 1.jpg

关键代码截图:
2.jpg
打码部分为某保护壳保护标志

检测成功状态: 3.jpg

检测失败状态:
4.jpg

相关要求:
1.注意:文件不能改名 必须为“检测.exe”,否则点击按钮会异常。
2.打开后点击按钮会检测OD CE窗口特征 标题名称和类名(包括目录名称)。成功则返回真,失败则返回假+耗时。
3.主要是测试某保护壳保护代码能力强度,比如说测试下能不能把点击按钮后的检测ret,或者直接按钮单击事件ret,并且生成出检测_破解.exe。
4.测试程序仅保护了按钮单击事件 和 窗口特征检测()这两个子程序 (如上面截图)其他地方均未进行处理(易语言特征 api hook等)所以测压主要针对这两个地方(即这两个子程序代码段内),程序为易语言编写,并没有抹除易语言特征,之前有大佬通过修改易语言特征码达到过检测(点击按钮 存在窗口特征依旧返回假),但与本次测试原意相违背........所以做出一定限制。

提供两个版本:
1.检测.exe(原版,仅添加了需要测压的保护壳)
2.检测[抹除易语言特征版本].exe(原版的基础上利用加强版vmp抹除了部分易语言特征,无其他保护)(如果需要正常测试,也需要改名检测.exe才能正常运行)

2022年1月15日:
补充说明:
看见有大佬发了悬赏杀手视频帖子,但是进去一看却大失所望。
@ajinky

所以这里补充说明几点,其实前面也写的很清楚了。
1.压缩包内有提供两个版本,其中一个的确是加了vmp壳抹除了易语言的相关特征,但是这个不是测压的重点。需要测压的壳并不是vmp壳。大佬帖子中直指加了vmp如果是测试的原版(即检测.exe)我这里很好奇是如何看出有vmp的痕迹的。
2.目的不是为了过检测而过检测。可能是前面说的不太清楚,所以很多大佬一上手就是为了过掉这个检测,却忽视了下面的要求。相关检测仅作为保护壳功能演示用途。(保护的具体情况可以通过下个信息框断点返回保护的代码段内查看)

评分

参与人数 6HB +5 THX +2 收起 理由
king51999 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
林檎 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
brswbx201610 + 1
我思故我在 + 1
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
阿桂哥 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   80%

 楼主| 咖啡茶 发表于 2022-1-9 00:08 | 显示全部楼层


如果成功希望可以给出一定加强保护的意见,或者说下有什么地方可以改进,什么方面让你感受到了压力(如果有
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   10%

阿桂哥 发表于 2022-1-9 07:41 | 显示全部楼层


谢谢楼主分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   80%

 楼主| 咖啡茶 发表于 2022-1-9 09:47 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   10%

阿桂哥 发表于 2022-1-9 10:09 | 显示全部楼层


咖啡茶 发表于 2022-1-9 09:47
我怀疑你在灌水 但是没有证据

嘿嘿嘿,哈哈哈,好好好
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

aゞ烛火 发表于 2022-1-9 11:30 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   80%

 楼主| 咖啡茶 发表于 2022-1-9 11:51 | 显示全部楼层


aゞ烛火 发表于 2022-1-9 11:30
这样就可以了是吧?首先我直接运行返回真 手动过

看图暂时看不出改的是什么地方,但是正常情况下返回假时,计时是不可能等于0的,所以猜测只是单纯的修改了返回值?推测可能并没有在保护的代码段中可以生成出检测_破解.exe吗

主要是测试某保护壳保护代码能力强度,比如说测试下能不能把点击按钮后的检测ret,或者直接按钮单击事件ret,并且生成出检测_破解.exe。

测试程序仅保护了按钮单击事件 和 窗口特征检测()这两个子程序 (如上面截图)其他地方均未进行处理(易语言特征 api hook等)所以测压主要针对这两个地方(即这两个子程序代码段内),程序为易语言编写,并没有抹除易语言特征,之前有大佬通过修改易语言特征码达到过检测(点击按钮 存在窗口特征依旧返回假),但与本次测试原意相违背........所以做出一定限制。

点评

生成是没有什么问题的,返回值也确实是给我直接干掉了 如果你硬要我生成呢 那就算了吧毕竟我懒  发表于 2022-1-9 14:50
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   80%

 楼主| 咖啡茶 发表于 2022-1-9 16:06 | 显示全部楼层


aゞ烛火 发表于 2022-1-9 11:30
这样就可以了是吧?首先我直接运行返回真 手动过
生成是没有什么问题的,返回值也确实是给我直接干掉了 如果你硬要我生成呢 那就算了吧毕竟我懒


如果是直接修改返回值,那么就不符合要求

因为这并不在保护壳的保护范围内,原意是测试保护代码强度而不单纯是过这个检测,检测只是用于演示保护壳的能力。详细操作你可以看下52破解的同名帖,已经有人给出了解决方法的思路。


点评

实际上壳的强度在于能否手动干掉,而非直接调试 就例如你写了无敌的检测,不能发挥作用又有何用  发表于 2022-1-9 19:11
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   20%

brswbx201610 发表于 2022-1-9 16:30 | 显示全部楼层


谢谢分享,辛苦了!

评分

参与人数 1HB -10 收起 理由
ST手怎么白了 -10 【违规行为】请查阅http://www.52hb.com/thread-116-1-1.html

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   80%

 楼主| 咖啡茶 发表于 2022-1-9 20:50 | 显示全部楼层


aゞ烛火 发表于 2022-1-9 11:30
这样就可以了是吧?首先我直接运行返回真 手动过
实际上壳的强度在于能否手动干掉,而非直接调试 就例如你写了无敌的检测,不能发挥作用又有何用


这样说的话就属于在杠了 恕我不能认同 已经写的很清楚了 是测试保护壳保护代码的能力 如果大佬硬是要在演示的代码上杠那我无话可说 过掉一个窗口特征检测容易的很 GetDesktopWindow 返回0就行 这也没必要拿出来测压了。

另外 我认为一个壳的好坏不应该以被用于演示的代码来评价,如果大佬你有跟进被保护的代码段就会发现被保护的代码是动态执行的,这也是测压的重点,而不是单纯过一个窗口特征检测。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编论坛(www.52hb.com)所发布的破解补丁、注册机、逆向教程、逆向文章等,包含但不限于上述内容,仅限用于学习和研究目的,不得用于非法途径或商业行为。否则,一切后果请用户自行承担。本站内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如果您喜欢某程序,请购买正版,支持正版,获得正版优质服务。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@iCloud.com
站长微信:SharkHeng


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编论坛 ( 京公网安备11011502005403号 , 京ICP备20003498号 )

GMT+8, 2022-5-29 16:27 , Processed in 0.323623 second(s), 68 queries .

Powered by Discuz!

吾爱汇编论坛 www.52hb.com

快速回复 返回顶部 返回列表