现在的软件除了加上加密狗外，在加加密狗前还加了一层保护壳，如果想对加密狗分析，就得清楚这层壳的分析，不然对有壳的软件很难进行下去。加壳程序是从TLS开始运行的，我们首先点击OD的options菜单，修改Startup and exit选项，让OD中断在TLS callback里。加壳程序运行后，VMP初始化VM，并进入DISPATCH部分。这里我们就以初始化后的堆栈为例。VM的堆栈一共使用61个DWORD，上下分别有2个堆栈指针，下面为EBP指针，上面为EDI指针。下面是VM初始化时，给EDI和...

软件名称：某工程造价管理系统所用工具：PEID OD下载地址：自己去搜吧 关于ROCKEY4ND 官网是这样介绍:     ROCKEY4ND加密狗是一款具有大数据空间、多模块和算法空间的无驱型加密锁。在Windows 98SE/Me/2000/XP/2003、Linux、Mac OS、WinCE等平台下无需额外安装驱动程序。提供丰富灵活的API接口，高强度外壳加密工具，快速操作的编辑工具，两级密码管理体制，存储空间多达1000字节，64个模块管理，用户自定义算法，...

　本文以记事本为例，给记事本添加一个启动窗口，其实给其它程序添加其它功能方法都差不多，为了简便，本文用DLL的方式添加窗口，在程序中也可以修改，但是代码相对来说要多很多，且容易出错。 下面进入正题： 首先，用ＯＤ加载记事本，记录ＯＥＰ：01006AE0  ，另一个就是添加启动窗口之后程序新的ＯＥＰ：01007D73       New OEP，我们的代码要写在此处   &nbs...

本文以两个ＥＸＥ文件为例，为了简便，在最后一个节区添加数据。也就是资源节（rsrc）。 也就是一个文件完全中完全包含另一个文件。 本文是资源方式添加，如果想以代码的方式添加并运行的话，只要稍微修改下就ＯＫ了。 第一步：把要复制的数据添加到文件 １、用WinHex打开要添加数据的文件，(为了下面记叙方便，取名为1.exe)，移动到文件尾，   ２、再用WinHex打开要添加的文件，（同上，取名为2.exe）把整个文件选上， 右键——编辑——复制选块——16进制数据，这个文件的作...

int 2e 简单说来就是发起一个软件中断，中断号是2e ，具体执行什么功能就要看运行环境，不同的操作系统就不相同，同一个系统也可能因为不同的软件而不同。在驱动实现的时候，可能需要调用许多的Undocument API函数，例如NtWriteVirtualMemory, ZwCreateProcess 等等，但是这些函数往往都会触及到一些权限问题，今天就具体谈谈调用NtCreateEvent。 下面是反汇编ntdll.dll的NtCreateEvent部分 NtCreateE...

PEID查壳为Borland Delphi 6.0 – 7.0，无壳，因是Delphi 程序，所以直接用DEDE分析了……  因为该软件认证方式是点“下一步”来确认，而在DeDe中又找到“bnNextClick”和“bnPrevClick”字样，所以判断关键在“bnNextClick”里，具体代码如下： 005AD508  /.  55    &...

PEID查壳为NeoLite v2.0，这壳很简单，本文就不多说了，直接脱壳并修复。 脱壳后反汇编得到如下信息： :0040F490 8BC3                    mov eax, ebx:0040F492 E879030000              call&nbs...

首先，用PEID查壳，无壳。尝试运行程序，输入注册码后没有任何提示。用OD载入，搜索字符串,发现有用的：“谢谢你的注册,请重新启动超级点击机器II”，原来又是一个重启验证。 * Possible StringData Ref from Data Obj ->”谢谢你的注册,请重新启动超级点击机器II” :00405149 68648C4200              push...

Windows提供了大量的API接口，这极大地提高了程序员软件开发的效率，但是通过逆向分析及API的提示下就可获取到大量信息，从而定位到目标程序的关键代码段，大大减少了逆向分析的工作难度。 所以隐藏对API 的调用可以有效地提高程序的抗分析能力，同时也增加了软件破解的难度。下面逐一介绍隐藏API调用的方法。 首先，看一下最简单的情况： MessageBox(NULL, “Hello World!”, “Test”, MB_OK);用IDA查看：.t...

第一次做这方面的分析，偶是菜鸟，高手请路过。 启动的注入进程在进入Ring0后总会执行到内核态函数KeUsermodeCallback，而DLL注入代码的加载正是依赖此函数的回调机制得以实现。 只要通过hook方式对函数KeUsermodeCallback做参数检查，过滤掉DLL加载行为就可以实现指定进程的反DLL注入之目的，这正是360保险箱反注入方法基础之一。 一、预备知识 KeUsermodeCallback是一个未公开的函数，存在于ntoskrnl.exe,...