吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 4365|回复: 23

[CrackMe] 测压下某保护壳强度

[复制链接]
咖啡茶 发表于 2022-1-9 00:04 | 显示全部楼层 |阅读模式

50HB
本帖最后由 咖啡茶 于 2022-1-15 01:24 编辑

源文件地址:https://wwi.lanzouy.com/i4I6xyjg99c

查毒截图: 1.jpg

关键代码截图:
2.jpg
打码部分为某保护壳保护标志

检测成功状态: 3.jpg

检测失败状态:
4.jpg

相关要求:
1.注意:文件不能改名 必须为“检测.exe”,否则点击按钮会异常。
2.打开后点击按钮会检测OD CE窗口特征 标题名称和类名(包括目录名称)。成功则返回真,失败则返回假+耗时。
3.主要是测试某保护壳保护代码能力强度,比如说测试下能不能把点击按钮后的检测ret,或者直接按钮单击事件ret,并且生成出检测_逆向.exe。
4.测试程序仅保护了按钮单击事件 和 窗口特征检测()这两个子程序 (如上面截图)其他地方均未进行处理(易语言特征 api hook等)所以测压主要针对这两个地方(即这两个子程序代码段内),程序为易语言编写,并没有抹除易语言特征,之前有大佬通过修改易语言特征码达到过检测(点击按钮 存在窗口特征依旧返回假),但与本次测试原意相违背........所以做出一定限制。

提供两个版本:
1.检测.exe(原版,仅添加了需要测压的保护壳)
2.检测[抹除易语言特征版本].exe(原版的基础上利用加强版vmp抹除了部分易语言特征,无其他保护)(如果需要正常测试,也需要改名检测.exe才能正常运行)

2022年1月15日:
补充说明:
看见有大佬发了悬赏杀手视频帖子,但是进去一看却大失所望。
@ajinky

所以这里补充说明几点,其实前面也写的很清楚了。
1.压缩包内有提供两个版本,其中一个的确是加了vmp壳抹除了易语言的相关特征,但是这个不是测压的重点。需要测压的壳并不是vmp壳。大佬帖子中直指加了vmp如果是测试的原版(即检测.exe)我这里很好奇是如何看出有vmp的痕迹的。
2.目的不是为了过检测而过检测。可能是前面说的不太清楚,所以很多大佬一上手就是为了过掉这个检测,却忽视了下面的要求。相关检测仅作为保护壳功能演示用途。(保护的具体情况可以通过下个信息框断点返回保护的代码段内查看)

评分

参与人数 6HB +5 THX +2 收起 理由
king51999 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
林檎 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
brswbx201610 + 1
我思故我在 + 1
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
阿桂哥 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 咖啡茶 发表于 2022-1-9 00:08 | 显示全部楼层

如果成功希望可以给出一定加强保护的意见,或者说下有什么地方可以改进,什么方面让你感受到了压力(如果有
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
阿桂哥 发表于 2022-1-9 07:41 | 显示全部楼层

谢谢楼主分享

评分

参与人数 1HB +1 收起 理由
我是电脑狂大人 + 1

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 咖啡茶 发表于 2022-1-9 09:47 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
阿桂哥 发表于 2022-1-9 10:09 | 显示全部楼层

咖啡茶 发表于 2022-1-9 09:47
我怀疑你在灌水 但是没有证据

嘿嘿嘿,哈哈哈,好好好
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
aゞ烛火 发表于 2022-1-9 11:30 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 咖啡茶 发表于 2022-1-9 11:51 | 显示全部楼层

aゞ烛火 发表于 2022-1-9 11:30
这样就可以了是吧?首先我直接运行返回真 手动过

看图暂时看不出改的是什么地方,但是正常情况下返回假时,计时是不可能等于0的,所以猜测只是单纯的修改了返回值?推测可能并没有在保护的代码段中可以生成出检测_逆向.exe吗

主要是测试某保护壳保护代码能力强度,比如说测试下能不能把点击按钮后的检测ret,或者直接按钮单击事件ret,并且生成出检测_逆向.exe。

测试程序仅保护了按钮单击事件 和 窗口特征检测()这两个子程序 (如上面截图)其他地方均未进行处理(易语言特征 api hook等)所以测压主要针对这两个地方(即这两个子程序代码段内),程序为易语言编写,并没有抹除易语言特征,之前有大佬通过修改易语言特征码达到过检测(点击按钮 存在窗口特征依旧返回假),但与本次测试原意相违背........所以做出一定限制。

点评

aゞ烛火”点评说:
生成是没有什么问题的,返回值也确实是给我直接干掉了 如果你硬要我生成呢 那就算了吧毕竟我懒  发表于 2022-1-9 14:50
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 咖啡茶 发表于 2022-1-9 16:06 | 显示全部楼层

aゞ烛火 发表于 2022-1-9 11:30
这样就可以了是吧?首先我直接运行返回真 手动过
生成是没有什么问题的,返回值也确实是给我直接干掉了 如果你硬要我生成呢 那就算了吧毕竟我懒


如果是直接修改返回值,那么就不符合要求

因为这并不在保护壳的保护范围内,原意是测试保护代码强度而不单纯是过这个检测,检测只是用于演示保护壳的能力。详细操作你可以看下52逆向的同名帖,已经有人给出了解决方法的思路。


点评

aゞ烛火”点评说:
实际上壳的强度在于能否手动干掉,而非直接调试 就例如你写了无敌的检测,不能发挥作用又有何用  发表于 2022-1-9 19:11
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
brswbx201610 发表于 2022-1-9 16:30 | 显示全部楼层

谢谢分享,辛苦了!

评分

参与人数 1HB -10 收起 理由
ST手怎么白了 -10 【违规行为】请查阅http://www.52hb.com/thread-116-1-1.html

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 咖啡茶 发表于 2022-1-9 20:50 | 显示全部楼层

aゞ烛火 发表于 2022-1-9 11:30
这样就可以了是吧?首先我直接运行返回真 手动过
实际上壳的强度在于能否手动干掉,而非直接调试 就例如你写了无敌的检测,不能发挥作用又有何用


这样说的话就属于在杠了 恕我不能认同 已经写的很清楚了 是测试保护壳保护代码的能力 如果大佬硬是要在演示的代码上杠那我无话可说 过掉一个窗口特征检测容易的很 GetDesktopWindow 返回0就行 这也没必要拿出来测压了。

另外 我认为一个壳的好坏不应该以被用于演示的代码来评价,如果大佬你有跟进被保护的代码段就会发现被保护的代码是动态执行的,这也是测压的重点,而不是单纯过一个窗口特征检测。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表