逆向一个基于驱动的保护方案SandBoxie.PDFVIP

S h u b - Ni g ur r at h [A RT EA M ] S h u b - Ni g ur r at h [A RT EA M ] 逆向一个基于驱动的保护方案: Version 1.1 Last Rev.: August 2007 前言 进入教程 有朝一日会专注于一个有意思的、展示精确实现的保护并认真的记述到一个文档，这次 1. 目标 轮到SandBoxie, 一个具有精致保护方案的应用程序。对于教程中的逆向文档来说，我 2. 理解保护的结构 想它是有用的，主要因为我大量的使用了Ollydbg和IDA Debugger的组合。 这次我尽可能的首选IDA来理解代码，OllDbg仅仅用于设想的验证，当你不得不分析恶 3. 理解数据流程 意软件时，这种研究方法很普通但也很容易上手，因为 IDA允许保存逆向任务、代码编 4. 使用Olly和IDA: 发挥二者优势 辑、名称改变等等。 5. 用IDA分析驱动 我需要能在任意时刻可以冻藏的逆向工具（我的业余时间不多且很零散）：我通常在 6. 预备一个有效的补丁 VMWARE虚拟PC上使用Olldbg来执行动态任务，用IDA来执行分析任务（可以在以后 7. 驱动补丁 的其他任务再一次关闭和开始）。 8. 程序注册机 我将用一个完整的程序注册机来结束这次逆向之旅， 展示的步骤你也可以用于其他程序 9. 结论 并且程序将包含发布的源代码（简单的C代码） 。 10. 深入阅读/参考 通常也有这个程序的破解和注册机散布于网上，本教程将不会引起超过前人的诸多麻烦。 此外，在OllDbg配合下，我会尽可能的让大家明白，本教程对于发掘IDA功能的深入者 来说是一个好机会。 祝有兴致， Shub Author: Shub-Nigurrath REVERSING OF A PROTECTION SCHEME BASED ON DRIVERS: SANDBOXIE PAGE 2 免责声明 包含在本教程中所有代码可以自由使用和修改；我们仅要求您注明出处；本教程及所有包含的附录也可以按当前未改变的格 式发布。 本文挡中使用的所有商业化程序仅用于演示所描述的理论和方法之目的，不会在任何媒体或主机上散播打过补丁的应用程序， 所使用的应用程序已经被改动过很多次，并且破解版已经被使用过很长时间了。ARTeam 或作者在这些程序上不能被视为侵 权。同其他ARTeam教程一样，本教程意在分享知识及教授如何为程序打补丁，怎样饶过保护，泛言如何提高RCE技艺及泛 解壳中发生的事件，我们不会发布任何破解的应用程序。我们致力我们所知。。 校验 文件ARTeam.esfv 可在 ARTeamESFVChecker 中打开，以校验ARTeam发布的所有文件未被改变。ARTeamESFVChecker 可以在ARTeam网站的发布区得到。 目录 1. 目标及限制 3 1.1. 试用状态限制 4 2.