Qokelate 发表于 2013-4-21 13:52:50

貌似很简单的修改一下就可以防止傻瓜式反编译?

本帖最后由 Qokelate 于 2013-4-21 13:54 编辑

谁来测试下?    无壳


骗子 发表于 2013-4-21 13:56:16

好东西,顶一下等方法

proteus 发表于 2013-4-21 14:40:41

MSGBOX( 0, 0, "嘻嘻")
EXIT

proteus 发表于 2013-4-21 14:58:47

照样秒杀。

原理是用一个简单的python script,
(1)        在IsDebuggerPresent下断点,修改EAX值
(2)        在每个检查Operator的地方下断点,输出不同值
opstring = dict( [(0x0, ' '),
                  (0x1, ' '),
                  (0x20, ''),
                  (0x40, ' , '),
                  (0x41, ' = '),
                  (0x42, ' > '),
                  (0x43, ' < '),
                  (0x44, ' <> '),
                  (0x45, ' >= '),
                  (0x46, ' <= '),
                  (0x47, ' ( '),
                  (0x48, ' ) '),
                  (0x49, ' + '),
                  (0x4a, ' - '),
                  (0x4b, ' / '),
                  (0x4c, ' * '),
                  (0x4d, ' & '),
                  (0x4e, ' [ '),
                  (0x4f, ' ] '),
                  (0x50, ' == '),
                  (0x51, ' ^ '),
                  (0x52, ' += '),
                  (0x53, ' -= '),
                  (0x54, ' /= '),
                  (0x55, ' *= '),
                  (0x56, ' &= '),
                  (0x7F, '\n')    ]   )
(3)        在每个检查Operand的地方下断点,根据不同值做不同处理
0x0:    ?
0x1:    ?
0x5:    INT
0x10:   INT64
0x20:   DOUBLE
0x7F:   End of line?
0xFFFF: Start?
0x30: COSTRUCT
0x31: COMMAND
0x32: MACRO
0x33: VAR
0x34: FUNC
0x35: OBJECT
0x36: STRING
0x37: DIRECTIVE
(4)        在每个处理sring的地方下断点,分别考虑single quote only、double quote only、mixed single quote and double quote的状况

longsir 发表于 2013-4-24 20:07:08

怎么写的,DeAutoIt无法反,这个先把新手给过滤了,ExeinfoPE 查是VC编译,还没用OD去查。
楼主说说详细情况,怎么做的程序

Qokelate 发表于 2013-4-25 03:12:41

本帖最后由 Qokelate 于 2013-4-25 09:54 编辑

回复 5# longsir


    这个工具是根据特征来识别代码区域的,查看编译后EXE的16进制可发现 HK....#AUCN 或 HK......AU3 特征码,反编工具就是根据这个来识别的,只要想办法把特征码改掉或者构造一个它识别不了的东西进去,就可以PASS掉

weeks5 发表于 2013-4-26 17:01:29

好东西,
好东西,

txen548 发表于 2013-4-27 09:54:42

不能用呀,什麼情況

快雪时晴 发表于 2015-1-22 23:01:31

回复 1# Qokelate


过了这么多年,依然    神奇

zhaoyun 发表于 2015-2-22 08:16:10

{:face (332):}

myznanh 发表于 2015-3-18 23:13:55

呵呵呵呵呵呵呵呵

zouwulu 发表于 2015-3-20 22:11:36

这个好像还米有学会

lczhjun 发表于 2015-5-17 10:05:26

继续坚持,继续autoit

scared1 发表于 2015-10-26 07:25:11

好东西…………
页: [1]
查看完整版本: 貌似很简单的修改一下就可以防止傻瓜式反编译?