[求助]请教anti dump的原理-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]请教anti dump的原理

发表于: 2005-1-17 22:57 7695

[求助]请教anti dump的原理

老伙计

2005-1-17 22:57

7695

一个叫Access Remote PC远程控制软件(版本4.4.4下载URL:5ceK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4U0j5$3g2K6M7#2)9J5k6s2u0W2L8h3!0@1k6g2)9J5k6s2m8U0i4K6u0W2j5$3!0E0i4K6u0r3k6r3!0%4L8X3I4G2j5h3c8Q4x3V1k6J5M7r3y4K6k6i4c8#2M7q4)9J5k6h3g2^5k6b7`.`.)，加了一种未知壳进行保护,不注册只能试用30次,使用flyOllyDBG1.1跟踪找到了OEP,但是无论是用Ollydump、Procdump还是Stud_PE均无法把程序dump出来，Stud_PE的出错信息是“Can't open this process!”，以前只是听说过有anti dump技术，可还没有真正遇到过，不知道其anti的原理是怎样的，应该如何对付？请各位老大赐教！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (17)
Lenus 雪币： 149 活跃值： (379) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 23 关注私信	Lenus 3 2 楼这个问题原理可能是：壳将某些内存页设置成为NO ACCESS的了。导致不能dump 你可以试试，这样干： 1.alt+m 2.右键-设置权限-完整权限把你需要dump的段都弄一遍...然后可以用ollydump来dump他。当然用lordpe可能也行... 上述纯属猜想.... 2005-1-17 23:47 0
linhanshi 雪币： 106860 活跃值： (202484) 能力值： (RANK：10 ) 在线值：发帖 9315 回帖 28046 粉丝 488 关注私信	linhanshi 3 楼最初由 Lenus 发布这个问题原理可能是：壳将某些内存页设置成为NO ACCESS的了。导致不能dump 你可以试试，这样干： 1.alt+m 2.右键-设置权限-完整权限把你需要dump的段都弄一遍...然后可以用ollydump来dump他。当然用lordpe可能也行... ........ 辛苦了... 2005-1-17 23:48 0
Lenus 雪币： 149 活跃值： (379) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 23 关注私信	Lenus 3 4 楼最初由 linhanshi 发布辛苦了... 不辛苦，都是吓说的，很多东西都还没成熟... 还想请这里的高手指教呢...:D 2005-1-17 23:53 0
linhanshi 雪币： 106860 活跃值： (202484) 能力值： (RANK：10 ) 在线值：发帖 9315 回帖 28046 粉丝 488 关注私信	linhanshi 5 楼最初由 Lenus 发布不辛苦，都是吓说的，很多东西都还没成熟... 还想请这里的高手指教呢...:D 太谦虚了... 2005-1-17 23:54 0
老伙计雪币： 805 活跃值： (2718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 6 楼试了一下，好象不灵。 2005-1-18 00:09 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 6 关注私信	David 20 7 楼这样的，类似arm copymemII的解码不停对脱壳区域解码或读写操作，你不去除这些call也不能dump的. arm就是这样的，不用tdasm的patch方法处理loadpe就是那个提示。 2005-1-18 00:21 0
linhanshi 雪币： 106860 活跃值： (202484) 能力值： (RANK：10 ) 在线值：发帖 9315 回帖 28046 粉丝 488 关注私信	linhanshi 8 楼最初由 David 发布这样的，类似arm copymemII的解码不停对脱壳区域解码或读写操作，你不去除这些call也不能dump的. arm就是这样的，不用tdasm的patch方法处理loadpe就是那个提示。这晚了还没休息... 2005-1-18 00:24 0
Lenus 雪币： 149 活跃值： (379) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 23 关注私信	Lenus 3 9 楼哈哈~露陷了.. 2005-1-18 00:24 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 10 楼最初由 Lenus 发布这个问题原理可能是：壳将某些内存页设置成为NO ACCESS的了。导致不能dump 你可以试试，这样干： 1.alt+m 2.右键-设置权限-完整权限把你需要dump的段都弄一遍...然后可以用ollydump来dump他。当然用lordpe可能也行... ........ 是有一部分壳这样，比如老XX，这招原来用过，猜想谦虚了。:D 2005-1-18 07:29 0
Lenus 雪币： 149 活跃值： (379) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 23 关注私信	Lenus 3 11 楼再友情提醒一下... 你是否将PE头的段的属性也修改了呢？如果实在是不行，那我就不知道了... 2005-1-18 16:11 0
老伙计雪币： 805 活跃值： (2718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 12 楼谢谢楼上诸位大侠，PE各段属性都尝试修改了，但程序启动报错，提示程序已经损坏，要求重新安装。 2005-1-18 23:15 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 13 楼最初由老伙计发布谢谢楼上诸位大侠，PE各段属性都尝试修改了，但程序启动报错，提示程序已经损坏，要求重新安装。明显PE头有错。;) 2005-1-19 07:52 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 14 楼 rpcsetup.exe ? 刚才看了一下，不是未知壳是Armadillo V3.7X标准壳脱壳时也可以正常dump 从上面链接下载的不是一个版本？ OEP: 000C7F6D IATRVA: 00101000 IATSize: 00000954 2005-1-20 10:55 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼 anti dump 其实手法很多，这个要具体问题具体分析。没有什么通用方法。 2005-1-20 11:50 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 24 关注私信	nbw 24 16 楼最初由鸡蛋壳发布 anti dump 其实手法很多，这个要具体问题具体分析。没有什么通用方法。支持。看雪新书里面也有 2005-1-20 12:22 0
RiCky_Ston 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	RiCky_Ston 17 楼支持!支持! 2005-3-27 04:05 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 18 楼确实,修改peb中的进程空间大小数值也是方法其中之一 2005-3-27 04:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

老伙计

发帖

608

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
Lenus 雪币： 149 活跃值： (379) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 23 关注私信	Lenus 3 2 楼这个问题原理可能是：壳将某些内存页设置成为NO ACCESS的了。导致不能dump 你可以试试，这样干： 1.alt+m 2.右键-设置权限-完整权限把你需要dump的段都弄一遍...然后可以用ollydump来dump他。当然用lordpe可能也行... 上述纯属猜想.... 2005-1-17 23:47 0
linhanshi 雪币： 106860 活跃值： (202484) 能力值： (RANK：10 ) 在线值：发帖 9315 回帖 28046 粉丝 488 关注私信	linhanshi 3 楼最初由 Lenus 发布这个问题原理可能是：壳将某些内存页设置成为NO ACCESS的了。导致不能dump 你可以试试，这样干： 1.alt+m 2.右键-设置权限-完整权限把你需要dump的段都弄一遍...然后可以用ollydump来dump他。当然用lordpe可能也行... ........ 辛苦了... 2005-1-17 23:48 0
Lenus 雪币： 149 活跃值： (379) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 23 关注私信	Lenus 3 4 楼最初由 linhanshi 发布辛苦了... 不辛苦，都是吓说的，很多东西都还没成熟... 还想请这里的高手指教呢...:D 2005-1-17 23:53 0
linhanshi 雪币： 106860 活跃值： (202484) 能力值： (RANK：10 ) 在线值：发帖 9315 回帖 28046 粉丝 488 关注私信	linhanshi 5 楼最初由 Lenus 发布不辛苦，都是吓说的，很多东西都还没成熟... 还想请这里的高手指教呢...:D 太谦虚了... 2005-1-17 23:54 0
老伙计雪币： 805 活跃值： (2718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 6 楼试了一下，好象不灵。 2005-1-18 00:09 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 6 关注私信	David 20 7 楼这样的，类似arm copymemII的解码不停对脱壳区域解码或读写操作，你不去除这些call也不能dump的. arm就是这样的，不用tdasm的patch方法处理loadpe就是那个提示。 2005-1-18 00:21 0
linhanshi 雪币： 106860 活跃值： (202484) 能力值： (RANK：10 ) 在线值：发帖 9315 回帖 28046 粉丝 488 关注私信	linhanshi 8 楼最初由 David 发布这样的，类似arm copymemII的解码不停对脱壳区域解码或读写操作，你不去除这些call也不能dump的. arm就是这样的，不用tdasm的patch方法处理loadpe就是那个提示。这晚了还没休息... 2005-1-18 00:24 0
Lenus 雪币： 149 活跃值： (379) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 23 关注私信	Lenus 3 9 楼哈哈~露陷了.. 2005-1-18 00:24 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 10 楼最初由 Lenus 发布这个问题原理可能是：壳将某些内存页设置成为NO ACCESS的了。导致不能dump 你可以试试，这样干： 1.alt+m 2.右键-设置权限-完整权限把你需要dump的段都弄一遍...然后可以用ollydump来dump他。当然用lordpe可能也行... ........ 是有一部分壳这样，比如老XX，这招原来用过，猜想谦虚了。:D 2005-1-18 07:29 0
Lenus 雪币： 149 活跃值： (379) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 23 关注私信	Lenus 3 11 楼再友情提醒一下... 你是否将PE头的段的属性也修改了呢？如果实在是不行，那我就不知道了... 2005-1-18 16:11 0
老伙计雪币： 805 活跃值： (2718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 12 楼谢谢楼上诸位大侠，PE各段属性都尝试修改了，但程序启动报错，提示程序已经损坏，要求重新安装。 2005-1-18 23:15 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 13 楼最初由老伙计发布谢谢楼上诸位大侠，PE各段属性都尝试修改了，但程序启动报错，提示程序已经损坏，要求重新安装。明显PE头有错。;) 2005-1-19 07:52 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 14 楼 rpcsetup.exe ? 刚才看了一下，不是未知壳是Armadillo V3.7X标准壳脱壳时也可以正常dump 从上面链接下载的不是一个版本？ OEP: 000C7F6D IATRVA: 00101000 IATSize: 00000954 2005-1-20 10:55 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 15 楼 anti dump 其实手法很多，这个要具体问题具体分析。没有什么通用方法。 2005-1-20 11:50 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 24 关注私信	nbw 24 16 楼最初由鸡蛋壳发布 anti dump 其实手法很多，这个要具体问题具体分析。没有什么通用方法。支持。看雪新书里面也有 2005-1-20 12:22 0
RiCky_Ston 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	RiCky_Ston 17 楼支持!支持! 2005-3-27 04:05 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 18 楼确实,修改peb中的进程空间大小数值也是方法其中之一 2005-3-27 04:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复