貌似很简单的修改一下就可以防止傻瓜式反编译?

Qokelate

谁来测试下?    无壳

骗子

好东西，顶一下等方法

proteus

MSGBOX  ( 0  , 0  , "嘻嘻"  ) 
EXIT 

proteus

照样秒杀。

原理是用一个简单的python script，
(1)        在IsDebuggerPresent下断点，修改EAX值
(2)        在每个检查Operator的地方下断点，输出不同值
opstring = dict( [  (0x0, ' '),
                    (0x1, ' '),
                    (0x20, ''),
                    (0x40, ' , '),
                    (0x41, ' = '),
                    (0x42, ' > '),
                    (0x43, ' < '),
                    (0x44, ' <> '),
                    (0x45, ' >= '),
                    (0x46, ' <= '),
                    (0x47, ' ( '),
                    (0x48, ' ) '),
                    (0x49, ' + '),
                    (0x4a, ' - '),
                    (0x4b, ' / '),
                    (0x4c, ' * '),
                    (0x4d, ' & '),
                    (0x4e, ' [ '),
                    (0x4f, ' ] '),
                    (0x50, ' == '),
                    (0x51, ' ^ '),
                    (0x52, ' += '),
                    (0x53, ' -= '),
                    (0x54, ' /= '),
                    (0x55, ' *= '),
                    (0x56, ' &= '),
                    (0x7F, '\n')    ]   )
(3)        在每个检查Operand的地方下断点，根据不同值做不同处理
0x0:    ?
0x1:    ?
0x5:    INT
0x10:   INT64
0x20:   DOUBLE
0x7F:   End of line?
0xFFFF: Start?
0x30: COSTRUCT
0x31: COMMAND
0x32: MACRO
0x33: VAR
0x34: FUNC
0x35: OBJECT
0x36: STRING
0x37: DIRECTIVE
(4)        在每个处理sring的地方下断点，分别考虑single quote only、double quote only、mixed single quote and double quote的状况

longsir

怎么写的，DeAutoIt无法反，这个先把新手给过滤了，ExeinfoPE 查是VC编译，还没用OD去查。
楼主说说详细情况，怎么做的程序

Qokelate

回复 5# longsir


    这个工具是根据特征来识别代码区域的,  查看编译后EXE的16进制可发现 HK....#AUCN 或 HK......AU3 特征码,反编工具就是根据这个来识别的,只要想办法把特征码改掉或者构造一个它识别不了的东西进去,就可以PASS掉

weeks5

好东西，
好东西，

txen548

不能用呀,什麼情況

快雪时晴

回复 1# Qokelate


过了这么多年，依然    神奇

zhaoyun

myznanh

呵呵呵呵呵呵呵呵

zouwulu

这个好像还米有学会

lczhjun

继续坚持，继续autoit

scared1

好东西…………