最新推荐
-
齐鲁银行网银助手3.0.0.5官方版 安全软件 / 3.0M
-
360安全卫士U盘病毒专杀(Autorun.inf专杀)13.0.0.213简体中文绿色免费版 安全软件 / 86.1M
-
360安全卫士U盘病毒专杀工具v13.0.0.213绿色免费版 安全软件 / 86.1M
-
360安全卫士修复工具v13.0.0.213免费版 安全软件 / 86.1M
-
360安全卫士超强查杀V13.0.0.213安装版 安全软件 / 86.1M
精品推荐
-
360安全卫士13.0.0.213正式版 安全软件 / 86.1M
查看 -
360安全卫士U盘病毒专杀(Autorun.inf专杀)13.0.0.213简体中文绿色免费版 安全软件 / 86.1M
查看 -
360安全卫士修复工具v13.0.0.213免费版 安全软件 / 86.1M
查看 -
360安全卫士(系统诊断软件)V13.0.0.213中文安装版 安全软件 / 86.1M
查看 -
360安全卫士超强查杀V13.0.0.213安装版 安全软件 / 86.1M
查看
本类排行
详情介绍
CodeDoctor 静态分析指令并跟踪所有跳转指令。这个功能在程序不断跳来跳去的情况下非常有用。当遇到无法追踪的指令时,它会停止分析,并将所有分析过的指令复制到指定的内存中。
CodeDoctor 静态分析指令并跟踪所有跳转指令。这个功能在程序不断跳来跳去的情况下非常有用。当遇到无法追踪的指令时,它会停止分析,并将所有分析过的指令复制到指定的内存中。
指示
特征
1. 反混淆
在反汇编窗口中选择并执行该指令。它会尝试将垃圾指令转换为清晰指令。
例子:
原始说明:
00874372 57 推送EDI
00874373 BF 352AAF6A MOV EDI,6AAF2A35
00874378 81E7 0D152A41 和EDI,412A150D
0087437E 81F7 01002A40 异或EDI,402A0001
00874384 01FB 添加EBX,EDI
00874386 5F POP EDI
反混淆后:
00874372 83C3 04 添加EBX,4
2. 反混淆-单步
该指令的原理与上一条类似,但每次只分析一条指令。
3.设置nop到最后
将代码写成这样的形式:
00874396 50 推EAX
00874397 90 无
00874398 90 无
00874399 52 推EDX
0087439A BA 3F976B00 MOV EDX,somesoft.006B973F
0087439F 90NOP
008743A0 90 无
008743A1 90NOP
转换为:
00874396 50 推EAX
00874397 52 推EDX
00874398 BA 3F976B00 MOV EDX,somesoft.006B973F
0087439D 90NOP
0087439E 90 NOP
0087439F 90NOP
008743A0 90 无
008743A1 90NOP
限制:会跳出所有跳转指令和调用指令
4. 取消/重新执行
取消或再次执行上一条指令
5.搜索跳转功能
它静态分析指令并跟踪所有跳转指令。这个功能在程序不断跳来跳去的情况下非常有用。当遇到无法追踪的指令时,它会停止分析,并将所有分析过的指令复制到指定的内存中。
在设置中设置这些参数:
逐步执行所有呼叫- 如果设置,它将逐步执行所有呼叫。否则它会跟踪他们。
单步执行jcc-dtto(?)
反混淆- 当遇到Jcc、RET、JMP、CALL 指令时,会对指令进行反混淆。当程序有多个分支时非常有用。
例子:
转换前:
00874389 /EB 05 JMP 短somesoft.00874390
0087438B |43 公司EBX
0087438C |41 INC ECX
0087438D |42 INC EDX
0087438E |EB 07 JMP 短somesoft.00874397
00874390 \B8 07000000 MOV EAX,7
00874395 ^ EB F4 JMP 短somesoft.0087438B
00874397 C3 RET
转换后:
003B0000 B8 07000000 MOV EAX,7
003B0005 43 公司EBX
003B0006 41 公司ECX
003B0007 42 公司EDX
003B0008 C3 RET
6. 重建资源并重新安排
该功能在解包时有一些限制。它从磁盘打开正在调试的文件。然后它找到所有资源并将它们重建为一个节(目前它将资源重建为exe中的原始节)。然后它会重新排列文件并以新名称保存它们。
这个功能什么时候有用?例如,删除apack/asprotect 或其他一些shell 后。这些shell 从原始部分窃取一些资源并将它们放入自己的部分中。这会增加文件大小并阻止您删除压缩部分。同时也防止这些资源被一些资源黑客软件看到。
我确信有比这个插件更好的工具,但集成它有时会非常方便。
7.AsProtect脱壳
该功能可以删除asprotect加壳的文件并进行修复,导出asprotect.dll,并将信息输出到txt文件中。当此功能失败时,请将目标文件提交给我。
限制:
1.无法查找并修复SDK 1.x版本功能(需要手动查找)
这里有两种情况。一种是在OEP 之前调用的函数。它们执行一系列初始化函数。如果不执行它们,程序可能会失败。找到它们并执行它们:-)
第二个在OEP之后执行,通过特殊参数隐藏在GetprocAddress后面,这些函数AsProtect将它们重定向到自己的代码。您需要手动分析这些代码。
2.在2.30-2.51中,窃取的方式有两种——一种是PolyOEP,另一种是虚拟化。此功能只能修复前者。
3.找不到crc检查或shell检查。但此功能会阻止一种类型的shell 检查:在跳转到API 的指令中查找E8。
4. 它不会解密加密的部分或部分。
5. 它不会找到序列号、修补过的试用版等。
6. 若有附加数据,拆封后可能会损坏。
错误:
它在某些特定的1.10版本下不起作用,我会在有时间时修复它。
防范措施
删除受Asprotect 2.X 保护的文件时,您可能需要aspr_ide.dll。从aspack.com 获取它们并根据需要进行修改。
文件描述:
CodeDoctor.dll主程序
