标签为 "PE" 的存档

实战IDA PE+ DLL脱壳

2011年7月18日
{ 没有评论 }

IDA + Bochs 调试器插件进行PE+ 格式DLL脱壳

By :obaby

在IDA Pro6.1中我们扩展了Bochs调试器插件,现在已经可以进行64位代码段的调试。在IDA Pro 6.2版本中将有可能实现PE+ 可执行程序的动态调试。由于程序将会在Bochs系统中执行,因而在调试的过程中我们并不需要实际的64位操作系统,因而在实际的调试过程中可以从任何的32位或者64位的Linux,Mac OS 或者Windows操作系统中使用IDA Pro进行64位可执行文件的调试。

为了确认这一项新的功能,我们将进行PE+格式的一个木马程序进行脱壳并且进行一个大体的分析,这个文件是由MATCODE Software公司的mpress进行压缩的。我们将会对讲解DLL文件脱壳,修复输入表并且最终修复数据库来进行分析。

 

Unpacking the DLL

我们的目标文件是一个木马的DLL文件,该文件被杀软识别为“Win32/Giku”。我们从使用idaq64载入DLL文件开始进行分析,载入之后按Ctrl+S键打开区段窗口:


阅读更多…

破解/汇编『Crack/Asm』 , , ,

ildasm 4.0 修改版

2011年3月14日
{ 没有评论 }

原版拒绝打开经过某些.NET混淆器处理过的assembly,修改版解除了此限制,猛击此处下载修改版程序。

破解/汇编『Crack/Asm』 , ,

PE头移位工具 v1.0

2011年1月27日
{ 没有评论 }

猛击此处下载这个小东西文件校验信息:

文件名: C:\Users\obaby\Desktop\PE头编辑器-Release.exe
文件大小: 1110528 字节 (1.06 MB)
修改日期: 2011-01-27 14:54
版本: 1.0.0.0
MD5: 29c70b9287508b398ea20e7aec54f534
SHA1: 24140168299ad0a3ab56aab1c433176e7bcf6470
SHA256: 61a20434a80d323ada0e90fd23f2ec809fce999b0e7907a41f319c3a5eac0c96
CRC32: 5daca903
阅读更多…

程序设计『Programing』 , ,

Restorator 2009 4.0 build 1807 Patch

2010年12月10日
{ 1 条评论 }

整理了一下,做了个破解补丁出来,猛击此处下载程序
阅读更多…

破解/汇编『Crack/Asm』 ,
第 1 页,共 3 页123