<![CDATA[云雨轩]]> http://www.devdiy.org.ru/blog/index.php zh-cn http://www.devdiy.org.ru/blog/post/57/ <![CDATA[pkZine恢复正常销售]]> vincehsu <admin@yourname.com> Fri, 24 Jun 2011 12:38:34 +0000 http://www.devdiy.org.ru/blog/post/57/ 休假归来,pkZine恢复正常销售和技术支持。 ]]> http://www.devdiy.org.ru/blog/post/54/ <![CDATA[关于pkZine被部分杀毒软件误报的说明]]> vincehsu <admin@yourname.com> Wed, 04 Aug 2010 07:16:58 +0000 http://www.devdiy.org.ru/blog/post/54/ 提交到360官网的文件已得到回复如下:
引用
【360安全中心】您的样本处理完成
360Sample 发送至 我
  
亲爱的 pkzine :

您于 2010-07-22 11:44:59 向我们上报了 误报 样本文件,文件信息如下:
    文件名                                           MD5                                                结果

pkZine2.1.1.911.exe  40fc928d791c9f73fc3ce89fa62d92ee   确认为360杀毒误报,我们会尽快解除
pkZine2.2.1.958.exe  056b294b37af2124454cc981324517bb   确认为360杀毒误报,我们会尽快解除

感谢您的支持。

本邮件由360安全中心发送,请不要回复此邮件,如有问题请反馈到360杀毒论坛。

若您是从官网、华军软件园、天空等下载的pkZine,且MD5校验值如上所示,遇到误杀误报请加入信任名单或换用其他大品牌杀毒软件,本软件可放心使用,软件中不含任何病毒,不访问网络和注册表,绿色环保。 ]]> http://www.devdiy.org.ru/blog/post/53/ <![CDATA[订单号6246351的用户请提供可用邮箱。]]> vincehsu <admin@yourname.com> Wed, 28 Jul 2010 06:07:16 +0000 http://www.devdiy.org.ru/blog/post/53/ 订单号:6246351
用户IP:    124.234.*
下单时间:   2010-07-26 16:29:01
付款时间:   2010-07-26 16:30:30
请此订单用户及时与作者联系提供可用的email地址,您提交的sohu.com邮箱无法收到注册邮件,我已多次发送注册码,均被退信,请提供gmail、QQ、126、163等邮箱地址。您的sohu来信作者可以收到,请使用原sohu邮箱发送备用邮箱地址以便确认订单所有者身份。 ]]> http://www.devdiy.org.ru/blog/pkzine-v2-update/ <![CDATA[pkZine v2.2正式发布,v2.1开放下载]]> vincehsu <admin@yourname.com> Sun, 30 May 2010 15:27:37 +0000 http://www.devdiy.org.ru/blog/pkzine-v2-update/ 点击在新窗口中浏览此图片
v2.1.1.911也已开放普通用户下载,下载地址见更新帖。
Tags - , ]]> http://www.devdiy.org.ru/blog/post/51/ <![CDATA[更换服务器,网站恢复中[2010-5-23]]]> vincehsu <admin@yourname.com> Sat, 22 May 2010 16:55:45 +0000 http://www.devdiy.org.ru/blog/post/51/ 刚刚更换服务器,网站访问还不稳定,欢迎反馈意见和建议。
更新了域名指向,以下域名均可正常访问本站:
http://devdiy.org.ru
http://diydev.org.ru
http://pkzine.net.ru

另,pkZine即将发布更新,v2.2正在测试阶段,敬请留意。

Tags - ]]> http://www.devdiy.org.ru/blog/pkzine-v2/ <![CDATA[pkZine一周年多彩版v2.1发布]]> vincehsu <admin@yourname.com> Wed, 11 Nov 2009 12:38:29 +0000 http://www.devdiy.org.ru/blog/pkzine-v2/ 点击在新窗口中浏览此图片
为纪念pkZine走过一周年,特地重新制作了全新的图标和外观,支持用户自定义颜色,提供丰富多彩的界面选择,您可以拥有与众不同的专属pkZine。优化搜素功能后的pkZine比想象中更强大,遇到无法识别的文件,可使用静态、动态搜索SWF功能,多线程提取SWF,高速、不卡死,全面替代传统SWF吸取软件。
Tags - ]]> http://www.devdiy.org.ru/blog/pkzine-buy-reg/ <![CDATA[pkZine购买操作指南]]> vincehsu <admin@yourname.com> Tue, 10 Nov 2009 09:20:36 +0000 http://www.devdiy.org.ru/blog/pkzine-buy-reg/ 点击在新窗口中浏览此图片
2.填写订单中必要的内容,注册用户名、机器码(硬件编码)、联系邮箱等,并选择自己喜爱的付款方式后“确定”;
点击在新窗口中浏览此图片
点击在新窗口中浏览此图片
3.核对订单内容准确无误后“确认订单”,如需修改则返回上一页修改;
点击在新窗口中浏览此图片
4.根据选择的付款方式不同,出现相应的点击付款按钮,点击该按钮进入支付网关,根据提示完成付款即可;
点击在新窗口中浏览此图片
5.成功付款完毕后,中国共享软件注册中心会发送订单成交的通知邮件到您的联系邮箱,并通知作者发送注册码;
6.耐心等待作者处理订单,并在邮箱中收取注册码和最新版本的软件,一般处理订单时间在24小时内,如超过该时间仍未收到注册码,请到官网留言或给作者email。
Tags - ]]> http://www.devdiy.org.ru/blog/insideview-restroe-obfuscated-code/ <![CDATA[浅析乱序代码的分析方法]]> vincehsu <admin@yourname.com> Mon, 02 Nov 2009 07:43:56 +0000 http://www.devdiy.org.ru/blog/insideview-restroe-obfuscated-code/ 浅析乱序代码的分析方法
关键字:乱序 分析 反汇编 InsideView

本文涉及的InsideView和相关文件下载:
点击这里下载文件
代码乱序的实现方式:
    代码乱序是将一系列的代码序列分散打乱分布在PE映像中,中间穿插跳转指令以及不改变环境的垃圾代码,从而扰乱正常分析流程。一般的来讲,连接指令以无条件的跳转jmp、变形的短跳转call、对称的条件跳转指令([jz、jnz];[jc、jnc]…)等实现,前提是不改变其他环境以免破坏代码正常功能。当然,也可以先保存环境,再使用破坏环境的条件跳转或通过SEH跳转等方式,然后再恢复先前保存的环境,这种先保存再恢复的实现方式必然有成对的指令模版。归根结底,连接指令是不会改变其他环境的。

代码乱序的还原方法:
    我们知道连接指令是不改变其他环境的,因此我们可以逐行分析代码,记录不改变环境的跳转,将分散乱序代码合并实现乱序的还原。代码乱序的还原方法可分为动态和静态两种,动态还原以OllyDbg为例,可利用调试器自身的反汇编引擎和脚本来实现,由于脚本和跟踪执行的效率问题,这种方式存在一定的局限性,比如动态分析时不方便比对。而静态还原首先需要一个反汇编引擎来分析指令,然后根据设定的过滤条件,将不会改变其他环境的连接跳转过滤,根据指令执行顺序,线性重排,这种方式实际上是半自动的条件反汇编。

乱序分析实例:
    下面以本人测试某反汇编引擎的中间产物InsideView为例,实现代码乱序的分析还原。在InsideView中打开example.cv.exe,程序会从入口处显示默认反汇编结果,如图:
点击在新窗口中浏览此图片

    例子很简单,就是现实2次消息框,从InsideView可以看到,从00409149处起至000040916F止,相关代码被jmp、jne、je等乱序了,不利于分析。可以看到乱序代码中包含了无条件跳转jmp、成对的条件跳转(jne/je…)、伪装的call,这里勾选右边选项的所有过滤条件,由于指令不多,反汇编行数可以适当减少,比如填入20,避免无关代码干扰,单击Process过滤反汇编结果,可以看到过滤后的代码一目了然了:
点击在新窗口中浏览此图片  
对比一下(过滤前):
00409149  jmp 00409159h
0040914B  push 00h
0040914D  jne 0040915Fh
0040914F  je 0040915Fh
00409151  push dword ptr [0040A988h]
00409157  jmp 00409169h
00409159  push 00h
0040915B  js 00409151h
0040915D  jns 00409151h
0040915F  call 00405118h
00409164  call 00409171h ;maybe fake jmp
00409169  push dword ptr [0040A984h]
0040916F  jmp 0040914Bh
过滤后:
00409159  push 00h
00409151  push dword ptr [0040A988h]
00409169  push dword ptr [0040A984h]
0040914B  push 00h
0040915F  call 00405118h
可以看到,过滤后的代码地址并不连续,但实际上显示的是真实的执行顺序,在实际应用中完全可以结合OllyDbg的动态调试,根据过滤结果在关键点下断避免被猥琐掉耐心。
    单击Restore恢复初始状态,或则手动取消所有过滤器选项,以免影响下次分析,接下来我们来看看Code Virtualizer的乱序,这个例子中Code Virtualizer虚拟过的函数为00409144  call 00408600h,我们在此行上双击,进入该call的反汇编结果:
00408600  jmp 0041A1B6h
00408605  mov esp , E1A83C07h
0040860A  mov ecx , 65C31480h
0040860F  pop edx
00408610  mov dl , BFh
00408612  stosb
可以看到第一行就是一个无条件跳转去VM,双击它,来到:
0041A1B6  push 00419D13h
0041A1BB  jmp 00414EECh
0041A1C0  retf
压入数据,进入VM执行,继续双击0041A1BB  jmp 00414EECh,进入真正的处理过程:
点击在新窗口中浏览此图片  
粗略一看,基本上是jmp和伪装call组合的乱序,勾选右边的过滤器Filter JMP和Filter Fake CALL,代码比较多,Disassemble Lines选100好了,单击Process得到结果:
点击在新窗口中浏览此图片  
比较一下,一个完整的清晰的VM Handler出现在面前,要进一步分析VM也变简单了。

再来看看NoobyProtect的乱序分析,手里没Key跑不起主程序做不了实验品,只好用NoobyProtect v1.6.7.0个人版带的SEKeygen.exe来测试了。打开之后如图:
点击在新窗口中浏览此图片  
乍一看,完全看不懂,代码极度猥琐,没关系,一步一步来,双击进入第一行的伪装call,来到:
00776DE6  jne 00776D9Ch
00776DE8  jmp 00776D9Ch
00776DEA  std
可以看出,这里是乱序连接指令,继续双击跳转到:
00776D9C  lea esp , dword ptr [esp+04h]
00776DA0  jl 00776D5Eh
00776DA2  jnl 00776D5Eh
00776DA4  into
00776DA5  retf
00776DA6  mov dword ptr [esp] , edi
00776DA9  jne 00776E23h
00776DAB  je 00776E23h
有成对条件跳转出现,勾选右边的Filter Junk Jump后Process过滤:
点击在新窗口中浏览此图片  
现在的代码要明朗的多了,可以看到程序进行了大量的堆栈操作,具体干啥了请自行结合OllyDbg分析。
    补充说明一下InsideView的各项功能:
Code View内显示代码反编译结果,凡是跳转指令,可以双击或回车进入该跳转,Code View内有右键弹出菜单,
1.Disassemble from here,从选中行开始反汇编;
2.Save Result,保存反汇编结果到文本文件;
3. Copy selected lines,复制选中的内容到剪贴板。
Filter选项中Filter JMP对应过滤无条件跳转jmp,
Filter Junk Jump对应过滤对称条件跳转,
Filter Fake CALL对应过滤伪装的Call跳转,
Disassemble Lines为需要反编译的代码行数。
History中显示用户反编译的历史,双击可以回到指定地址的反汇编结果,也可以使用“-”“+”回溯或向前,与OD操作类似。
Virtual Address to disassemble可填入需要反汇编的虚拟地址,对指定地址反汇编。
Process按钮进行反汇编,
Restore按钮恢复初始化,
Save Result按钮保存反汇编结果。
    InsideView只是研究反汇编引擎的一个中间产品,功能上仍有欠缺,代码写得很乱很糟糕,就不开源献丑了。实现原理只是对反汇编代码进行分析,根据给定的条件,逐步跟随跳转指令的操作地址进行线性过滤,过滤条件的设定值目前是硬编码,不保证百分之百正确,有可能会过滤真实的代码,需要人工干预给与正确的条件组合。原理并不复杂,欢迎山寨类似分析工具,但你不能拿InsideView改个名换个外观说是你的成果。
    本文只是实现了基本的代码乱序还原方法,对代码变形和VM没有讨论,实际上,代码的变形和VM都脱离不了x86的指令集的本质,x86计算机上运行的程序无论如何变化,最终执行的依然是x86指令,如果可以动态匹配指令变形模版,则可以进一步过滤以实现变形和VM的还原分析。
    从前,为了体现技术的强大,程序员往往花费很多精力去优化精简代码,试图以最小的代码量实现最好的功能,现在,为了保护强大的技术,程序员不必再去优化代码,代码写得越臃肿越好,越乱越不容易被破解,目前软件保护工具的乱序、变形、VM等,说穿了就是一个化简为繁的过程,很显然Cracker们需要的是一个化繁为简的利器,需要一个强大的能过滤各类条件、能匹配指令模版的条件反汇编工具,而且最好还拥有比OllyDbg更完善的动态调试功能。
    期待大牛的诞生……

Vince Hsu
2-Nov-2009

「原创文章,转载请保持完整」


Tags - ]]> http://www.devdiy.org.ru/blog/post/46/ <![CDATA[pkZine国庆60周年礼物开始发放[OVER!]]]> vincehsu <admin@yourname.com> Wed, 30 Sep 2009 17:00:27 +0000 http://www.devdiy.org.ru/blog/post/46/ 2009-10-04 活动圆满结束,谢谢关注。
http://www.unpack.cn/viewthread.php?tid=40984&extra=page%3D1
http://www.520du.cn/bbs/viewthread.php?tid=14428&extra=
http://www.52ba.cn/bbs/thread-31181-1-1.html

以上3个论坛发放,数量有限,每个论坛配额20枚,共60枚,发完即止。
先到先得,注意看清帖子内容,超编的不算。
Tags - ]]> http://www.devdiy.org.ru/blog/post/45/ <![CDATA[pkZine v2.0使用补充说明]]> vincehsu <admin@yourname.com> Wed, 30 Sep 2009 15:54:48 +0000 http://www.devdiy.org.ru/blog/post/45/ 点击在新窗口中浏览此图片
v2.0开始提供3种解析方式:
1.默认方式解析:按照pkZine识别数据库,识别已知的EXE杂志,自动选择单纯静态解析或动态辅助解析,对EXE杂志进行完全解包,还原所有原始多媒体数据。

如果EXE杂志需要动态辅助分析,则会有如图的提示,当用户选择确定后,pkZine会自动加载EXE,用户只需将杂志完全翻阅一遍,pkZine会自行分析静态解包所需的参数。
点击在新窗口中浏览此图片
翻阅结束后,关闭杂志会有如下提示:
点击在新窗口中浏览此图片
按下确定进入静态解析,同普通静态解析过程一样,完成对杂志的解包。
2.静态搜索SWF:忽略EXE杂志编译器,强制搜索EXE文件中的SWF文件,只对未加密EXE有效。在默认方式解析失败时可选择此方式解包。
3.动态搜索SWF:忽略EXE杂志编译器,自行启动EXE进入进程搜索模式,开启线程高速搜索内存中的SWF文件,可用于替代FLASH吸血鬼类似功能,对多数EXE有效。在默认方式解析和静态搜索SWF均失效时可选择此方式解包。
点击在新窗口中浏览此图片
如上图,选择动态搜索后pkZine将自行启动EXE进入进程搜索模式,搜索内存中的SWF文件,在该模式下用户使用热键Shift+Alt+S可再次搜索目标内存,使用热键Shift+Alt+X退出进程搜索模式并自行结束EXE杂志。
点击在新窗口中浏览此图片
注意:开启动态搜素后,必须使用热键退出动态搜索状态方可进行其他操作。
Tags - ]]>