本文以两个ＥＸＥ文件为例，为了简便，在最后一个节区添加数据。也就是资源节（rsrc）。 也就是一个文件完全中完全包含另一个文件。 本文是资源方式添加，如果想以代码的方式添加并运行的话，只要稍微修改下就ＯＫ了。 第一步：把要复制的数据添加到文件 １、用WinHex打开要添加数据的文件，(为了下面记叙方便，取名为1.exe)，移动到文件尾，   ２、再用WinHex打开要添加的文件，（同上，取名为2.exe）把整个文件选上， 右键——编辑——复制选块——16进制数据，这个文件的作...

int 2e 简单说来就是发起一个软件中断，中断号是2e ，具体执行什么功能就要看运行环境，不同的操作系统就不相同，同一个系统也可能因为不同的软件而不同。在驱动实现的时候，可能需要调用许多的Undocument API函数，例如NtWriteVirtualMemory, ZwCreateProcess 等等，但是这些函数往往都会触及到一些权限问题，今天就具体谈谈调用NtCreateEvent。 下面是反汇编ntdll.dll的NtCreateEvent部分 NtCreateE...

PEID查壳为Borland Delphi 6.0 – 7.0，无壳，因是Delphi 程序，所以直接用DEDE分析了……  因为该软件认证方式是点“下一步”来确认，而在DeDe中又找到“bnNextClick”和“bnPrevClick”字样，所以判断关键在“bnNextClick”里，具体代码如下： 005AD508  /.  55    &...

PEID查壳为NeoLite v2.0，这壳很简单，本文就不多说了，直接脱壳并修复。 脱壳后反汇编得到如下信息： :0040F490 8BC3                    mov eax, ebx:0040F492 E879030000              call&nbs...

首先，用PEID查壳，无壳。尝试运行程序，输入注册码后没有任何提示。用OD载入，搜索字符串,发现有用的：“谢谢你的注册,请重新启动超级点击机器II”，原来又是一个重启验证。 * Possible StringData Ref from Data Obj ->”谢谢你的注册,请重新启动超级点击机器II” :00405149 68648C4200              push...

Windows提供了大量的API接口，这极大地提高了程序员软件开发的效率，但是通过逆向分析及API的提示下就可获取到大量信息，从而定位到目标程序的关键代码段，大大减少了逆向分析的工作难度。 所以隐藏对API 的调用可以有效地提高程序的抗分析能力，同时也增加了软件破解的难度。下面逐一介绍隐藏API调用的方法。 首先，看一下最简单的情况： MessageBox(NULL, “Hello World!”, “Test”, MB_OK);用IDA查看：.t...

第一次做这方面的分析，偶是菜鸟，高手请路过。 启动的注入进程在进入Ring0后总会执行到内核态函数KeUsermodeCallback，而DLL注入代码的加载正是依赖此函数的回调机制得以实现。 只要通过hook方式对函数KeUsermodeCallback做参数检查，过滤掉DLL加载行为就可以实现指定进程的反DLL注入之目的，这正是360保险箱反注入方法基础之一。 一、预备知识 KeUsermodeCallback是一个未公开的函数，存在于ntoskrnl.exe,...

１、用PEID查壳，为Borland Delphi 6.0 – 7.0，Delphi写的，无壳。 ２、不插狗，试运行程序，弹出对话框，显示“操作加密锁失败！原因可能是 无加密锁或版本不正确。返回码：-53”。 ３、用OD加载，停在入口：0071FC04 >  55                push ebp　　　　/...

软件名称：AVISplitter  大小：462KB  工具：PEID OD 昨天在网上下了个AVI分割的软件，共享版，一启动就弹出要注册的对话框，很烦，尝试破解之。1、用PEID扫描：Microsoft Visual C++ 7.0，无壳，VC写的。2、用OD载入，运行程序，弹出注册对话框，尝试输入用户名abcdef和密码123456789，点注册按钮，弹出错误提示：Registration failed!3、根据提示，下断，来到下面的位置：00405730 &n...

前两天没事在网上瞎逛，看到一款游戏介绍还不错，就下载了客户端，玩了两天，终于玩腻了。于是尝试着分析封包的加密算法，并还原出一部分C++源码。 本人电脑上游戏客户端不少，但真正玩的可没几个，一般都是装好客户端进去逛一圈就出来了…… 废话不多说，下面正式开始。 一、获取运算封包Key 获取很简单，连接服务器，会收到服务器返回的包含了SendKey和RecvKey的钥匙包。 经过一定的算法，得到两个Key，在后续的游戏中，将使用这两个Key进行加密通信。 封包[0][1]为封包长度，不进行加...