找回密码
 加入
搜索
查看: 13081|回复: 42

一些关于反编与防反编的乱七八糟的见解

[复制链接]
发表于 2013-4-23 13:40:11 | 显示全部楼层 |阅读模式
本帖最后由 Qokelate 于 2013-4-23 13:48 编辑

1. 先说说反编译吧,常见方式就两个,  A.直接从EXE尾部读取附加数据区段(其实就是A3X)文件,而且残酷的事实是,无论你使用哪种壳,附加的数据总是原封不动的添加在EXE尾部的,
                                                     因此加壳对这类反编工具来说几乎不存在影响,   剩下的工作当然就是A3X还原为Au3了,如果了解过A3X的转换,这当然不是什么难事~~~~

                                                  B.通过虚拟机方式把程序运行起来,并在关键地方分析,通过特征(?对这方面不怎么了解)把代码还原出来?   

                                                  *: 很多时候两种方法都会使用,再加上官方对防反压根就没更新过,所以,选择了Au3你就蛋定吧~~~~~

2.再说说防反编,基于上面两个思路,个人认为有几个可能可行的思路

             A.通过 "加载器的方式"  把严重迷惑的"加载器"代码作为首先启动代码,然后把 目标代码通过特殊加密手段添加在EXE某个位置,加载器的作用就找到这个目标代码并执行
                过程如下           A.exe=  AutoIt.exe+  Loader.a3x +Core.a3x
                运行时候 Loader.a3x 首先被执行,然后再转换查找到Core.a3x  并执行   (经测试,可以有一定效果,产生新的问题是Au3运行A3X的函数已N年不更新,3.3.9.4更是无法运行!  唉放弃吧,童鞋!)

             B.在A的基础上,修改AutoIt.exe本身的加载入口,使得AutoIt.exe直接就是运行后面的A3x,这样就可以使反编方法A得不到正确的代码,达到目的

            C.修改Au3内部的函数名,结合迷惑的使用,也许可以一定程度上玩弄一下对手,当然被反只是时间问题~~~ 再次放弃吧,童鞋


PS:要使代码不被还原,必须兼顾两个编译方式,很蛋疼嘛~~~~~

        <---   以下区域啥都没有 --->
游客,如果您要查看本帖隐藏内容请回复


        <---   以上区域啥都没有 --->
 楼主| 发表于 2013-4-23 13:45:16 | 显示全部楼层
玩Au3还是不要研究防反的好,不现实,费10分的劲去防反得到的效果都及不上官方费2分劲去改变一下编译方式的效果好
发表于 2013-4-23 14:59:43 | 显示全部楼层
确实很头疼
发表于 2013-4-24 07:33:25 | 显示全部楼层
学习一下...
发表于 2013-5-8 19:35:23 | 显示全部楼层
看一下,有什么可以看懂的地方
发表于 2013-5-9 20:04:49 | 显示全部楼层
学习一下...
发表于 2013-5-9 20:14:25 | 显示全部楼层
虽说 区域啥都没有,我信了,还是忍不住要回你一下!
发表于 2013-7-22 18:28:11 | 显示全部楼层
看了看· 没办法 就换语言了··
发表于 2013-7-22 18:28:14 | 显示全部楼层
看了看· 没办法 就换语言了··
发表于 2013-9-13 17:16:09 | 显示全部楼层
好文章,学习了
发表于 2013-9-14 10:31:02 | 显示全部楼层
哥们研究的很多啊
发表于 2013-9-21 14:51:11 | 显示全部楼层
大量的商业化使用AU3不够可靠....
发表于 2013-10-1 11:06:54 | 显示全部楼层
学习一下  感谢楼主的分享
发表于 2013-12-28 16:29:24 | 显示全部楼层
反编
发表于 2013-12-28 17:16:18 | 显示全部楼层
学习了啊!!!!
您需要登录后才可以回帖 登录 | 加入

本版积分规则

QQ|手机版|小黑屋|AUTOIT CN ( 鲁ICP备19019924号-1 )谷歌 百度

GMT+8, 2024-3-29 22:13 , Processed in 0.080903 second(s), 19 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表