当前位置:首页 > 软件下载 > 安全软件

CodeDoctorv0.90 汉化版

点此纠错

  • 平台:WinXP
  • 大小:793KB
  • 语言:简体
  • 类别:安全软件
  • 授权:特别软件
  • 更新:2011-09-02
4.0
0% 0%

情介绍


CodeDoctor 静态分析指令并跟踪所有跳转指令。这个功能在程序不断跳来跳去的情况下非常有用。当遇到无法追踪的指令时,它会停止分析,并将所有分析过的指令复制到指定的内存中。









CodeDoctor 静态分析指令并跟踪所有跳转指令。这个功能在程序不断跳来跳去的情况下非常有用。当遇到无法追踪的指令时,它会停止分析,并将所有分析过的指令复制到指定的内存中。



指示



201503191656239886534_600_0.png



特征



1. 反混淆



在反汇编窗口中选择并执行该指令。它会尝试将垃圾指令转换为清晰指令。



例子:



原始说明:



00874372 57 推送EDI



00874373 BF 352AAF6A MOV EDI,6AAF2A35



00874378 81E7 0D152A41 和EDI,412A150D



0087437E 81F7 01002A40 异或EDI,402A0001



00874384 01FB 添加EBX,EDI



00874386 5F POP EDI



反混淆后:



00874372 83C3 04 添加EBX,4



2. 反混淆-单步



该指令的原理与上一条类似,但每次只分析一条指令。



3.设置nop到最后



将代码写成这样的形式:



00874396 50 推EAX



00874397 90 无



00874398 90 无



00874399 52 推EDX



0087439A BA 3F976B00 MOV EDX,somesoft.006B973F



0087439F 90NOP



008743A0 90 无



008743A1 90NOP



转换为:



00874396 50 推EAX



00874397 52 推EDX



00874398 BA 3F976B00 MOV EDX,somesoft.006B973F



0087439D 90NOP



0087439E 90 NOP



0087439F 90NOP



008743A0 90 无



008743A1 90NOP



限制:会跳出所有跳转指令和调用指令



4. 取消/重新执行



取消或再次执行上一条指令



5.搜索跳转功能



它静态分析指令并跟踪所有跳转指令。这个功能在程序不断跳来跳去的情况下非常有用。当遇到无法追踪的指令时,它会停止分析,并将所有分析过的指令复制到指定的内存中。



在设置中设置这些参数:



逐步执行所有呼叫- 如果设置,它将逐步执行所有呼叫。否则它会跟踪他们。



单步执行jcc-dtto(?)



反混淆- 当遇到Jcc、RET、JMP、CALL 指令时,会对指令进行反混淆。当程序有多个分支时非常有用。



例子:



转换前:



00874389 /EB 05 JMP 短somesoft.00874390



0087438B |43 公司EBX



0087438C |41 INC ECX



0087438D |42 INC EDX



0087438E |EB 07 JMP 短somesoft.00874397



00874390 \B8 07000000 MOV EAX,7



00874395 ^ EB F4 JMP 短somesoft.0087438B



00874397 C3 RET



转换后:



003B0000 B8 07000000 MOV EAX,7



003B0005 43 公司EBX



003B0006 41 公司ECX



003B0007 42 公司EDX



003B0008 C3 RET



6. 重建资源并重新安排



该功能在解包时有一些限制。它从磁盘打开正在调试的文件。然后它找到所有资源并将它们重建为一个节(目前它将资源重建为exe中的原始节)。然后它会重新排列文件并以新名称保存它们。



这个功能什么时候有用?例如,删除apack/asprotect 或其他一些shell 后。这些shell 从原始部分窃取一些资源并将它们放入自己的部分中。这会增加文件大小并阻止您删除压缩部分。同时也防止这些资源被一些资源黑客软件看到。



我确信有比这个插件更好的工具,但集成它有时会非常方便。



7.AsProtect脱壳



该功能可以删除asprotect加壳的文件并进行修复,导出asprotect.dll,并将信息输出到txt文件中。当此功能失败时,请将目标文件提交给我。



限制:



1.无法查找并修复SDK 1.x版本功能(需要手动查找)



这里有两种情况。一种是在OEP 之前调用的函数。它们执行一系列初始化函数。如果不执行它们,程序可能会失败。找到它们并执行它们:-)



第二个在OEP之后执行,通过特殊参数隐藏在GetprocAddress后面,这些函数AsProtect将它们重定向到自己的代码。您需要手动分析这些代码。



2.在2.30-2.51中,窃取的方式有两种——一种是PolyOEP,另一种是虚拟化。此功能只能修复前者。



3.找不到crc检查或shell检查。但此功能会阻止一种类型的shell 检查:在跳转到API 的指令中查找E8。



4. 它不会解密加密的部分或部分。



5. 它不会找到序列号、修补过的试用版等。



6. 若有附加数据,拆封后可能会损坏。



错误:



它在某些特定的1.10版本下不起作用,我会在有时间时修复它。



防范措施



删除受Asprotect 2.X 保护的文件时,您可能需要aspr_ide.dll。从aspack.com 获取它们并根据需要进行修改。






文件描述:



CodeDoctor.dll主程序