貌似很简单的修改一下就可以防止傻瓜式反编译?
本帖最后由 Qokelate 于 2013-4-21 13:54 编辑谁来测试下? 无壳
好东西,顶一下等方法 MSGBOX( 0, 0, "嘻嘻")
EXIT 照样秒杀。
原理是用一个简单的python script,
(1) 在IsDebuggerPresent下断点,修改EAX值
(2) 在每个检查Operator的地方下断点,输出不同值
opstring = dict( [(0x0, ' '),
(0x1, ' '),
(0x20, ''),
(0x40, ' , '),
(0x41, ' = '),
(0x42, ' > '),
(0x43, ' < '),
(0x44, ' <> '),
(0x45, ' >= '),
(0x46, ' <= '),
(0x47, ' ( '),
(0x48, ' ) '),
(0x49, ' + '),
(0x4a, ' - '),
(0x4b, ' / '),
(0x4c, ' * '),
(0x4d, ' & '),
(0x4e, ' [ '),
(0x4f, ' ] '),
(0x50, ' == '),
(0x51, ' ^ '),
(0x52, ' += '),
(0x53, ' -= '),
(0x54, ' /= '),
(0x55, ' *= '),
(0x56, ' &= '),
(0x7F, '\n') ] )
(3) 在每个检查Operand的地方下断点,根据不同值做不同处理
0x0: ?
0x1: ?
0x5: INT
0x10: INT64
0x20: DOUBLE
0x7F: End of line?
0xFFFF: Start?
0x30: COSTRUCT
0x31: COMMAND
0x32: MACRO
0x33: VAR
0x34: FUNC
0x35: OBJECT
0x36: STRING
0x37: DIRECTIVE
(4) 在每个处理sring的地方下断点,分别考虑single quote only、double quote only、mixed single quote and double quote的状况 怎么写的,DeAutoIt无法反,这个先把新手给过滤了,ExeinfoPE 查是VC编译,还没用OD去查。
楼主说说详细情况,怎么做的程序 本帖最后由 Qokelate 于 2013-4-25 09:54 编辑
回复 5# longsir
这个工具是根据特征来识别代码区域的,查看编译后EXE的16进制可发现 HK....#AUCN 或 HK......AU3 特征码,反编工具就是根据这个来识别的,只要想办法把特征码改掉或者构造一个它识别不了的东西进去,就可以PASS掉 好东西,
好东西, 不能用呀,什麼情況 回复 1# Qokelate
过了这么多年,依然 神奇 {:face (332):} 呵呵呵呵呵呵呵呵 这个好像还米有学会 继续坚持,继续autoit 好东西…………
页:
[1]