IT博客-学好delphi-随笔分类-加密and解密

OD 命令行

小叶子 — Tue, 30 Jun 2009 02:59:00 GMT

CALC
判断表达式
WATCH
添加监视表达式
AT
在指定地址进行反汇编
FOLLOW
跟随命令
orIG
反汇编于 EIP
DUMP
在指定地址进行转存
DA
转存为反汇编代码
DB
使用十六进制字节格式转存
DC
使用 ASCII 格式转存
DD
转存在堆栈格式
DU
转存在 UNICODE 格式
DW
使用十六进制字词格式转存
STK
前往堆栈中的地址
AS
（AS + 地址 + 字符串）
在指定地址进行汇编
BP
进行条件中断（有条件的断点）
BPX
中断在全部调用（Call）
BPD
清除全部调用中的断点
BC
清除断点
MR
内存断点于访问时
MW
内存断点于写入时
MD
清除内存断点
HR
访问时进行硬件中断
HW
写入时进行硬件中断
HE
执行时进行硬件中断
HD
清除硬件断点
STOP
停止运行程序调试
PAUSE
暂停执行程序调试
RUN
运行程序进行调试
GE
运行和通过例外
SI
单步进入 Call 中
SO
步过 Call
TI
跟踪进入直到地址
TO
跟踪步过直到地址
TC
跟踪进入直到满足条件
TOC
跟踪步过直到满足条件
TR
运行直到返回
TU
运行直到用户代码
LOG
查看记录窗口
MOD
查看模块窗口
MEM
查看内存窗口
CPU
查看 CPU 窗口
CS
查看 Call 堆栈
BRK
查看断点窗口
OPT
打开选项设置窗口
EXIT
退出 OllyDbg
QUIT
退出 OllyDbg
OPEN
打开一个可执行文件
CLOSE
关闭可执行文件
RST
重新运行当前程序
HELP
查看 API 函数的帮助

小叶子 2009-06-30 10:59 发表评论

看雪学院出版（第三版）下载

小叶子 — Wed, 24 Jun 2009 08:35:00 GMT

很难找到的一本书，大家快点下晚了就不能下载了

加密解密（第三版）

小叶子 2009-06-24 16:35 发表评论

OEP入口的特征

小叶子 — Sat, 20 Jun 2009 05:48:00 GMT

入口特征............
Microsoft Visual C++ 6.0
00496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择)
00496EB9 |. 8BEC MOV EBP,ESP
00496EBB |. 6A FF PUSH -1
00496EBD |. 68 40375600 PUSH Dumped.00563740
00496EC2 |. 68 8CC74900 PUSH Dumped.0049C78C ; SE 处理程序安装
00496EC7 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00496ECD |. 50 PUSH EAX
00496ECE |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP
00496ED5 |. 83EC 58 SUB ESP,58

Microsoft Visual Basic 5.0 / 6.0
00401166 - FF25 6C104000 JMP DWORD PTR DS:[<&MSVBVM60.#100>] ; MSVBVM60.ThunRTMain
0040116C > 68 147C4000 PUSH Dumped.00407C14
00401171 E8 F0FFFFFF CALL
00401176 0000 ADD BYTE PTR DS:[EAX],AL
00401178 0000 ADD BYTE PTR DS:[EAX],AL
0040117A 0000 ADD BYTE PTR DS:[EAX],AL
0040117C 3000 XOR BYTE PTR DS:[EAX],AL
VB还有一种
00401FBC > 68 D0D44000 push Dumped.0040D4D0
00401FC1 E8 EEFFFFFF call
00401FC6 0000 add byte ptr ds:[eax],al
00401FC8 0000 add byte ptr ds:[eax],al
00401FCA 0000 add byte ptr ds:[eax],al
00401FCC 3000 xor byte ptr ds:[eax],al
00401FCE 0000 add byte ptr ds:[eax],al

Borland C++
0040163C > $ /EB 10 JMP SHORT BCLOCK.0040164E
0040163E |66 DB 66 ; CHAR 'f'
0040163F |62 DB 62 ; CHAR 'b'
00401640 |3A DB 3A ; CHAR ':'
00401641 |43 DB 43 ; CHAR 'C'
00401642 |2B DB 2B ; CHAR '+'
00401643 |2B DB 2B ; CHAR '+'
00401644 |48 DB 48 ; CHAR 'H'
00401645 |4F DB 4F ; CHAR 'O'
00401646 |4F DB 4F ; CHAR 'O'
00401647 |4B DB 4B ; CHAR 'K'
00401648 |90 NOP
00401649 |E9 DB E9
0040164A . |98E04E00 DD OFFSET BCLOCK.___CPPdebugHook
0040164E > \A1 8BE04E00 MOV EAX,DWORD PTR DS:[4EE08B]
00401653 . C1E0 02 SHL EAX,2
00401656 . A3 8FE04E00 MOV DWORD PTR DS:[4EE08F],EAX
0040165B . 52 PUSH EDX
0040165C . 6A 00 PUSH 0 ; /pModule = NULL
0040165E . E8 DFBC0E00 CALL ; \GetModuleHandleA
00401663 . 8BD0 MOV EDX,EAX

Borland Delphi 6.0 - 7.0
00509CB0 > $ 55 PUSH EBP
00509CB1 . 8BEC MOV EBP,ESP
00509CB3 . 83C4 EC ADD ESP,-14
00509CB6 . 53 PUSH EBX
00509CB7 . 56 PUSH ESI
00509CB8 . 57 PUSH EDI
00509CB9 . 33C0 XOR EAX,EAX
00509CBB . 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
00509CBE . B8 20975000 MOV EAX,Dumped.00509720
00509CC3 . E8 84CCEFFF CALL Dumped.0040694C

易语言入口
00401000 > E8 06000000 call Dumped.0040100B
00401005 50 push eax
00401006 E8 BB010000 call
0040100B 55 push ebp
0040100C 8BEC mov ebp,esp
0040100E 81C4 F0FEFFFF add esp,-110
00401014 E9 83000000 jmp Dumped.0040109C
00401019 6B72 6E 6C imul esi,dword ptr ds:[edx+6E],6C
0040101D 6E outs dx,byte ptr es:[edi]
也是有令一种形式
Microsoft Visual C++ 6.0 [Overlay]的E语言
00403831 >/$ 55 PUSH EBP
00403832 |. 8BEC MOV EBP,ESP
00403834 |. 6A FF PUSH -1
00403836 |. 68 F0624000 PUSH Dumped.004062F0
0040383B |. 68 A44C4000 PUSH Dumped.00404CA4 ; SE 处理程序安装
00403840 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00403846 |. 50 PUSH EAX
00403847 |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP

MASM32 / TASM32
00401258 >/$ 6A 00 push 0 ; /pModule = NULL
0040125A |. E8 47000000 call ; \GetModuleHandleA
0040125F |. A3 00304000 mov dword ptr ds:[403000],eax
00401264 |. 6A 00 push 0 ; /lParam = NULL
00401266 |. 68 DF104000 push Dumped.004010DF ; |DlgProc = dump.004010DF
0040126B |. 6A 00 push 0 ; |hOwner = NULL
0040126D |. 6A 65 push 65 ; |pTemplate = 65
0040126F |. FF35 00304000 push dword ptr ds:[403000] ; |hInst = NULL
00401275 |. E8 56000000 call ; \DialogBoxParamA

VC8
004A2ADC > $ E8 B6A40000 call Dumped.004ACF97
004A2AE1 .^ E9 16FEFFFF jmp Dumped.004A28FC
004A2AE6 CC int3
004A2AE7 CC int3
004A2AE8 CC int3
004A2AE9 CC int3
004A2AEA CC int3
004A2AEB CC int3
004A2AEC CC int3
004A2AED CC int3
004A2AEE CC int3
004A2AEF CC int3
004A2AF0 /$ 8B4C24 04 mov ecx,dword ptr ss:[esp+4]
004A2AF4 |. F7C1 03000000 test ecx,3
004A2AFA |. 74 24 je short Dumped.004A2B20
004A2AFC |> 8A01 /mov al,byte ptr ds:[ecx]
004A2AFE |. 83C1 01 |add ecx,1

小叶子 2009-06-20 13:48 发表评论

OllyDBG使用时用的的几种断点

小叶子 — Wed, 10 Jun 2009 06:54:00 GMT

一. INT3断点
一般用F2设置
可以设置无数个,但改变程序指令(68->CC)
很多程序都用检测函数前两个字节来检测自己是否被下断.解决办法是在函数前或后设置

二.硬件断点
他与DRx调试器有关,CPU共8个调试寄存器,从DR0-DR7
硬件断点就是利用DR0-DR3.这四个下断
右键->断点->硬件执行

三.内存断点
INT3不能用.硬件断点失灵里可用这个代替,程序没有跑起来时用

四.内存访问一次性内存断点
ALT+M->F2

五.消息断点
所有的消息都有四个参数:   窗口句柄消息编号两个32位数

六.条件断点
1   寄存器条件 eax==0400000
      command里输入:bp 401776 eax==400000
2   按存储器条件

小叶子 2009-06-10 14:54 发表评论

保护模式下的虚拟内存是怎么实现的？

小叶子 — Mon, 08 Jun 2009 08:22:00 GMT

在实模式下，CPU寻址方式：CS：偏移量
而保护模式下段寄存器放的是段选择子（既一个指针，段选择子长16位，其格式如下表所示。从表中可见，段选择子的高13位是描述符索引(Index)。所谓描述符索引是指描述符在描述符表中的序号。段选择子的第2位是引用描述符表指示位，标记为TI(Table Indicator)，TI=0指示从全局描述符表GDT中读取描述符；TI=1指示从局部描述符表LDT中读取描述符）选择子 + 偏移量指向了内存

现在说虚拟内存是怎么实现的？
1.应用程序被启动，系统创建一个进程，并分给它2GB虚拟地址（不是内存，地址而已）
2.虚拟内存管理器把程序代码映射到上面分配的2GB虚拟地址中，这里全部分配，程序运行时用到的代码再映射到物理内存中
3.如果程序用到dll，也被映射到另个2GB虚拟地址，真正用到时映射到物理内存（和1中的2GB共4GB）
.....
.....
上面是主要的。我比做一个例子也许好明白点：
一张桌子比做内存，周围的小朋友要在上面玩积木（一个人是一个程序）。
小张要先玩，从老师（硬盘）那里要来积木，放在口袋里，口袋就是2GB虚拟地址，全部在口袋里，如果他要用哪一块积木就放在桌子上，这就是映射到内存，用一点映射一点
小李也要玩，同小张一样
......

虚拟地址（每个人的口袋）解决了内存（桌子）不够用的问题。如果没有这个口袋，两个人玩时就可能把桌子全占了

小叶子 2009-06-08 16:22 发表评论

破解常用的一些API

小叶子 — Mon, 08 Jun 2009 07:10:00 GMT

getwindowtext()
getdlgitem()
getdlgitemtext()

windows消息机制用到的API
sendmessage()
WM_command       0111H (对应16进制数)
WM_destory               02H
WM_gettext               0DH
WM_quit                 012H
WM_lbuttondown   0201H

小叶子 2009-06-08 15:10 发表评论

免杀方法

小叶子 — Mon, 16 Mar 2009 07:55:00 GMT

转:
一。脱壳修改

脱壳的好坏直接影响到木马免杀效果。如果不完全脱壳，在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。
upx aspack
二.特征码修改

简单的等效代码转换如下：（不过有时改后也损坏文件所以看情况）
push 改 pop     push eax pop eax
je变 jnz \\ jmp .nop jbe
add变 sub add eax ,1 sub eax ,-1
call变jmp nop
lea变mov    lea eax mov eax
jnb变ja
pushad变popad nop
cmp变sub cmp eax ,ebx eax ebx    sub eax ,ebx
test变and test eax ebx

三.通用跳转法

00000零区域
0050200 call XXXX \\aaaa
jmp 0060500 pop eax

push eax
jmp 0050200 \\aaaa
0060500 pop eax

四.顺序调换法
push eax
push ebx

push ebx
push eax

五.nop移位法

nop
push eax
add eax ,1

push eax
add eax ,1
nop
六.等值替换法

add eax ,1 inc eax 或 sub eax ,-1

七大小写替换法
C:\Program Files\iexplorer.exe

C:\PROGRAM FILES\IEXPLORER.EXE
八.00填充法

服务端安装成功

c32asm
九.输入表函数移位法
针对nod32杀软的高发式查杀方法
MaskPE加密输入表

小叶子 2009-03-16 15:55 发表评论