ESP定律脱壳UPX

EPS定律测试环境:WIN7虚拟机1. 拖到PEID查壳。可以看到这是一个UPX的压缩壳。那么我们就来手脱掉这个壳,用今天的主人公EPS定律! 用OD打开,之后可以看到一个PUSHad。这里点否也没事,点确定也无大碍。我们进来可以看到一个Pushad(PUSHAD:将通用寄存器的内容压入堆栈)其实EPS定律还有一个名字就叫堆栈平衡。  1. 我们按一下F8注意寄存器中的ESP是否有变化。可以看到EPS变红了。右键选择数据敞口中跟随,(HW break[ESimage.png

浅析黑号界神器:94授权

0X00 前言浅析目前市面上搭配黑号最常用的94授权 最早我拿到样本的时候 其实我是觉得没问题的,但是今天拿到样本后,它的一个报错 让我发现了问题,也就是图片上的那个报错,我本打算放弃,觉得这个应该没什么可疑的,但是复制此链接打开后F12看cookie会发现你自己当前QQ号的cookie都在这里就有很大的问题PEID查壳程序载入OD后你会发现并不是易语言的push ebp0x01 使用CreateProcessA创建一个新进程暂时先不管这个tmp到底是干嘛的 继续往下走调用exitpo

image.png

VMP3.X过虚拟机检测

实战VMP,过虚拟机检测(前言:很多的小伙伴基本上信心满满的下载了一个辅助,拖入PEID查壳,看到.vmp1的字样就放弃了,因为VMP确实挺难的,更何况加上一个虚拟机的检测。)image.png