宝峰科技

 找回密码
 注册

QQ登录

只需一步,快速开始

智能终端设备维修查询系统注册会员邮箱认证须知!
查看: 3489|回复: 0

Zprotect查版本法

[复制链接]

该用户从未签到

破解狼人 发表于 2010-10-31 22:52:55 | 显示全部楼层 |阅读模式

欢迎您注册加入!这里有您将更精采!

您需要 登录 才可以下载或查看,没有账号?注册

x
Zprotect的shell是个dll,每个版本不一样,可以通过这个来判断版本号.
stub中会申请内存解压dll,记录申请的内存地址,等解码完毕后找个固定值判断一下偏移即可.

比如找到如下字符串:
  1. 009A037C  00 00 00 00 CE DE B7 A8 B6 A8 CE BB D0 F2 CA FD  ....无法定位序数
  2. 009A038C  25 30 38 58 20 D3 DA 25 73 20 C9 CF A3 A1 00 00  %08X 于%s 上!..
  3. 009A039C  6B 65 72 6E 65 6C 33 32 2E 64 6C 6C 00 00 00 00  kernel32.dll....
  4. 009A03AC  56 69 72 74 75 61 6C 41 6C 6C 6F 63 00 00 00 00  VirtualAlloc....
复制代码
申请的内存为00970000,只要判断RVA:3039C是否为kernel32.dll即可.这个偏移相同版本加壳后的都是一样的.不同版本的则不同.只要搜集到每个版本加壳的试炼品就可以整理出来了.
当然还可以匹配其他的特征码.
您需要登录后才可以回帖 登录 | 注册

本版积分规则

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件编程开发或软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习编程开发技术或逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者用于商业用途!否则,一切后果请用户自负!

QQ|Archiver|手机版|小黑屋|联系我们|宝峰科技 ( 滇公网安备 53050202000040号 | 滇ICP备09007156号-2 )

Copyright © 2001-2023 Discuz! Team. GMT+8, 2024-12-22 16:45 , File On Powered by Discuz! X3.49

快速回复 返回顶部 返回列表