用户登陆
站点日历
日志搜索
站点统计
最新评论
友情链接
其他信息
http://bbs.pediy.com/showthread.php?t=45184
功能还不完善,这个是完整的版本。
阅读全文……
.Net 2.0 通用反射脱壳机完整版 [ 2007-07-15 | 原创作品 | rick@博客园 ]
mscorjit的介绍,兼对某壳企业版的分析 [ 2007-07-08 | 原创作品 | rick@博客园 ]
在前面介绍mscorwks的时提到了,.net的程序是以函数为单位编译。而在 mscorjit中提供了一个函数
compileMethod 。mscorwks就是通过调用这个函数来编译.Net方法的。
对于EE层,或者虚拟机预处理层的加密壳,只需要hook这个函数就可以dump出方法体的代码了。
需要注意一点,这个函数是 thiscall 调用约定的。
阅读全文……
compileMethod 。mscorwks就是通过调用这个函数来编译.Net方法的。
对于EE层,或者虚拟机预处理层的加密壳,只需要hook这个函数就可以dump出方法体的代码了。
需要注意一点,这个函数是 thiscall 调用约定的。
阅读全文……
.Net 反射脱壳机代码核心代码详解 [ 2007-07-04 | 原创作品 | rick@博客园 ]
.Net 反射脱壳机核心源代码 [ 2007-06-30 | 原创作品 | rick@博客园 ]
入口函数 void DumpAssembly(Assembly ass,string path) 枚举所有type,
调用 void DumpType(Type tp, BinaryWriter sw) 枚举所有方法,
调用 void DumpMethod(MethodBase mb, BinaryWriter sw) { MethodBody mbd = mb.GetMethodBody(); if (mbd == null) return; SetOffset(sw, mb.MetadataToken);
WriteHeader(sw, mbd); WriteILCode(sw, mbd); WriteSEH(sw, mbd); }
阅读全文……
调用 void DumpType(Type tp, BinaryWriter sw) 枚举所有方法,
调用 void DumpMethod(MethodBase mb, BinaryWriter sw) { MethodBody mbd = mb.GetMethodBody(); if (mbd == null) return; SetOffset(sw, mb.MetadataToken);
WriteHeader(sw, mbd); WriteILCode(sw, mbd); WriteSEH(sw, mbd); }
阅读全文……
BBSFTP V2.8 FTP流量插件 FOR PHPWIND 5.3[20070609更新] [ 2007-06-09 | 原创作品 | rick@博客园 ]
FTP 流量插件,实现 FTP帐号和论坛帐号一一对应。可以通过论坛币购买下载流量或者下载使用时间。
插件可同时支持 Serv-U FTP Server 和 Gene6 FTP Server。
2007-6-9更想:
1. 。“FTP服务器(域)管理” 中增加部分提示信息指导用户操作。
增加“用户组权限管理”功能,方便对不同的用户组设置不同的ftp权限。
阅读全文……
插件可同时支持 Serv-U FTP Server 和 Gene6 FTP Server。
2007-6-9更想:
1. 。“FTP服务器(域)管理” 中增加部分提示信息指导用户操作。
增加“用户组权限管理”功能,方便对不同的用户组设置不同的ftp权限。
阅读全文……
BBSFTP V2.8 FTP 流量插件 FOR DISCUZ 5.5更新 [ 2007-06-08 | 原创作品 | rick@博客园 ]
Discuz 5.5论坛插件更新:
1。增加 FTP服务中心起始页可设置。如:可以将流量购买页面设置为FTP中心的首页。
2。增加FTP服务中心的公告设置,公告可在ftp服务中心首页显示。
3。增加集成紫雨轩FTP搜索引擎,集成的FTP搜索引擎在 ftp服务中心首页显示。
注:以上三项在 “FTP中心参数设置” 中。
阅读全文……
1。增加 FTP服务中心起始页可设置。如:可以将流量购买页面设置为FTP中心的首页。
2。增加FTP服务中心的公告设置,公告可在ftp服务中心首页显示。
3。增加集成紫雨轩FTP搜索引擎,集成的FTP搜索引擎在 ftp服务中心首页显示。
注:以上三项在 “FTP中心参数设置” 中。
阅读全文……
谈anti ILdasm的原理以及anit 框架API的可行性 [ 2007-04-25 | 原创作品 | rick@博客园 ]
今天收到 maxtocode 的群发邮件,提到对MaxToCode运行库兼容性进行了修正,即降低了运行库anti的强度。
确实在兼容性和安全方面很难做到鱼与熊掌兼得。anti得太多,程序的兼容性就成问题。codelib就是例子,可用性太差。
在maxtocode的邮件中仍然发现了如下两条描叙:
[color=blue]* 增加了对ILdasm以及使用API 访问源数据的反编译工具的反制功能
阅读全文……
确实在兼容性和安全方面很难做到鱼与熊掌兼得。anti得太多,程序的兼容性就成问题。codelib就是例子,可用性太差。
在maxtocode的邮件中仍然发现了如下两条描叙:
[color=blue]* 增加了对ILdasm以及使用API 访问源数据的反编译工具的反制功能
阅读全文……
遭遇未知.Net加密壳 [ 2007-04-20 | 原创作品 | rick@博客园 ]
今天晚上朋友找我,说他用的OA系统(ASP.Net的)今天更新了,注册算法好像变了,好像加密壳也换了,找我帮他看看。
是DLL的程序而且是net2.0的,感觉应该很好弄。资源管理器中用大图标视图模式看了一下所有的dll文件的版本信息没有发现可疑文件。先拿ildasm看看结构,分析一下有什么保护方式。结果出来一个 红叉的对话框,说什么是受保护的模块。
用reflector不能看是预料之中的,这个工具太脆弱了。用9ray的能看到部分。
不过这些工具都太弱,还是Dis#比较强悍,就用它了,打开一幕了然,看得清清楚楚。
有名称混淆,名字都被混淆成了类似这样 "o10l1o0l" 的名称。还没有见过什么混淆器有这样的名称混淆特征。
阅读全文……
是DLL的程序而且是net2.0的,感觉应该很好弄。资源管理器中用大图标视图模式看了一下所有的dll文件的版本信息没有发现可疑文件。先拿ildasm看看结构,分析一下有什么保护方式。结果出来一个 红叉的对话框,说什么是受保护的模块。
用reflector不能看是预料之中的,这个工具太脆弱了。用9ray的能看到部分。
不过这些工具都太弱,还是Dis#比较强悍,就用它了,打开一幕了然,看得清清楚楚。
有名称混淆,名字都被混淆成了类似这样 "o10l1o0l" 的名称。还没有见过什么混淆器有这样的名称混淆特征。
阅读全文……
mscorwks.dll在.Net中的地位以及在.Net代码保护方面的应用 [ 2007-04-16 | 原创作品 | rick@博客园 ]
mscorwks.dll是dotNet的核心文件,尤其是在net2.0中,以前分散的功能都集中到了这个dll中。
net1.1中,还有一个文件mscorsvr.dll 和 mscorwks.dll 是同等地位的。
它们分别对应于 windows service程序以及 desktop 程序。
在net2.0中,它们都统一到了 mscorwks。dll中。
同时在net2.0中mscorsn.dll 的功能也合并到了 mscorwks.dll中。
阅读全文……
net1.1中,还有一个文件mscorsvr.dll 和 mscorwks.dll 是同等地位的。
它们分别对应于 windows service程序以及 desktop 程序。
在net2.0中,它们都统一到了 mscorwks。dll中。
同时在net2.0中mscorsn.dll 的功能也合并到了 mscorwks.dll中。
阅读全文……
DNGuard 2.0 正式版以及DNGuard HVM 预览 [ 2007-04-09 | 原创作品 | rick@博客园 ]
