吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 907|回复: 6

[原创] 对分析 yoda's Protector v1.02(.dll,.ocx) -> Ashkbiz Danehkar (h) *

 关闭 [复制链接]
发表于 2017-9-11 10:00 | 显示全部楼层
本帖最后由 yyyz 于 2017-9-11 10:03 编辑

今天对一个dll文件进行分析,
PEiD0.95查出来的是:yoda's Protector v1.02(.dll,.ocx) -> Ashkbiz Danehkar (h) *
20170910214533.jpg

上来就直接用ESP定律,不行,再用内存法,不行,最后单步法,搞了一下午没有搞定。
在网上查看很多关于yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *的帖子,但是都没有找到解决方法。
有人说是其它的壳伪装成这个壳,但我想只要是壳的话,至少单步法是行得通的呀。
(网上确实有人发帖,遇到了VMP伪装成yoda's Protector v1.02,但这哥们用单步法脱了它)

之后看到了这篇文章给了我启发:https://www.52pojie.cn/thread-156741-1-1.html,作者的截图跟我的很像,并且在文章下面
@736148001评论:无壳 E语言加花和打乱码而已(@736148001说他是根据区段和经验判断出来的)。

我再用Exeinfo PE V0.0.2.4 - 514 汉化版查壳,提示无壳!
20170910220211.jpg

接着在网上找了yoda's Protector v1.02脱壳工具,这工具脱不了dll文件,改成exe就好了
也是提示没有被yoda's Protector加壳
20170910215210.jpg

(从yoda's Protector脱壳工具脱不了dll文件,是不是可以反推出yoda's Protector加壳工具不能对dll文件加壳,也就说明这个dll文件加的壳不是yoda's Protector v1.02壳呢)

总结
PEID检测壳为:yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)*
有两种情况:
1)其他壳伪装成yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)
2)没有加壳,作者加了花指令,伪装成yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)

操作:
1、用其它PE工具检测确认它是不是其它壳伪装的;
2、如果是其它壳伪装,根据脱壳技术完全可以干掉它的;
3、如果花指令伪装,那就更简单了,去除花指令。


1、不要依赖一个PE工具,当不明确的时候换个PE工具试试;
2、多点新的尝试,不要限于自己的经验;
3、不懂网上搜索,用好网络工具;



ps
昨晚断电,没发成功
今天补上
时间:2017年9月11日 周一

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-9-11 10:10 | 显示全部楼层
https://www.52pojie.cn/thread-349073-1-1.html 官方第一课就讲解这些问题的,peid的原理是人工添加壳的特征来匹配,特征由不同人提取的不同壳特征,由于水平的原因,误报是经常出现,了解原理,和不同壳的特征,选择更为先进的查壳工具会更合适。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-9-11 10:50 | 显示全部楼层
又一次被外表假象迷惑了双眸!
经验主义者,机会主义者,还是不如用实践去证明猜测!

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-9-11 14:41 | 显示全部楼层
马克思主义原理重要精髓:实践是检验真理的唯一标准

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-9-11 21:07 | 显示全部楼层
很有道理啊

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-9-12 18:26 | 显示全部楼层
推荐ExeInfo Pe 以及 Die进行侦测。Peid除非重新更新特征库 否则没办法使用咯。误报严重。另外就是靠经验。

免费评分

参与人数 1吾爱币 +2 热心值 +1 收起 理由
ajm3 + 2 + 1 s大,我们可以做朋友吗

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-9-13 14:22 | 显示全部楼层
马克思主义原理重要精髓:实践是检验真理的唯一标准

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2017-9-20 13:28

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表