- 博客(8)
- 收藏
- 关注
RSS订阅原创 Enigma Protector逆向分析2 —— 一种基于detours的C#软件脱壳方式
严格来说,本文没有对Enigma Protector的执行原理进行分析,而是期望找到一种通用的脱壳方式,为加二进制壳C#程序的破解抛砖引玉。由于Enigma壳会对被加壳的程序进行加密压缩,的样本在加密压缩过程中可能丢掉了一些特征信息,导致die查壳的时候没有对编程语言做有效识别。通过程序的导入表(含有mscoree.dll)以及程序目录下大量形如xxx.xxx.xxx.dll的动态链接库,初步确认该二进制是由C#语言编译而成。已有软件的试用码,需要找到有效方法从内存中dump出二进制镜像,进行脱壳还原。
2025-01-05 15:23:00
1559
原创 Enigma Protector逆向分析1 —— dll loader
最近逆向过程中碰到了两个Enigma Protector的壳,无法通过正常下断点+patch代码的方式绕过注册界面,而且网上的分析资料很少,加上大多数都是针对于较低版本的壳,导致参考价值较低,真实环境分析时十分头疼。本文会尝试对某Enigma壳样本(DIE显示查壳如下图)从程序入口点到OEP处展开详尽分析,期望能对后续其他类Enigma壳的破解提供一点思路。先简单介绍一下Enigma Protector,
2024-11-12 21:11:32
1188
原创 某Delphi软件逆向记录
然而,在ida中运行导出的idc脚本后,会发现很多函数虽然起始地址和结束地址是对的,但是内部的汇编代码全被误识别成了二进制的数据(如db dd dw)。居然是加了上古的ASPack壳,并且是Delphi编写的,维护这个软件的公司10年以内没有重构过了。从网上随便找了个脚本把ASPack的壳脱了,但是Delphi编译后乍看一片混乱,俗话说工欲善其事必先利其器,需要找一套合适的工具先还原一下符号信息。),把脱壳后的二进制文件直接拖到里面,软件会自动分析出是Delphi 7编写的。
2023-10-04 09:25:15
1711
1
原创 CoPerception源码逆向分析 mapping.cpython-37m-x86_64-linux-gnu.so
CoPerception源码逆向分析 mapping.cpython-37m-x86_64-linux-gnu.so
2023-07-04 20:47:56
1025
3
原创 windows 下使用 c++ 调用 tensorflow(msvc/mingw) 进行 model inference
windows 下使用 c++ 调用 tensorflow(msvc/mingw) 进行 model inference
2022-11-23 18:13:43
2563
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人