[开源大赛作品]最后一波 ~ 防VMP 加密程序

天生是蠢材 · 发表于 2017-1-1 11:43:38

本帖最后由宇智波·佐助于 2017-1-1 22:47 编辑

~~~~~~~~~~~~~~
2017年1月1日元旦快乐
~~~~~~~~~~~~~~

个人感觉还是挺简单的，源码扩展性挺强的

给个扩展思路吧。
我发现加密后用UPX压缩错误,
那么可以给压缩后的程序添加一个补丁,
解压后再调用原来的
这样就减少了体积

QQ截图20170101113406.png

最后祝大家元旦快乐
回复可见

补充一点:源码调用了自己的模块
但是我看了看，并没有调用什么
很特别的子程序。例如:
文本_取随机字符()
精易模块上好像就有,大家自己替换一下就行了
链接: https://share.weiyun.com/db506a49da6c0aa790cceef2d9f5fdb7

补充下模块上要用的吧,发现大家太不会变通了。。

子程序名	返回值类型	公开	备注
文本_取出中间文本_字节集	字节集
参数名	类型	参考	可空	数组	备注
欲取全文本	字节集				比如：欲取全文本为 12345
前面文本	字节集				3的前面为“2”，引号直接用 #引号，如："[color=#引号red#引号]"
后面文本	字节集				3的后面为“4”，引号直接用 #引号，如："[color=#引号red#引号]"
起始搜寻位置	整数型				可空,这里是指搜寻参数二前面文本的开始位置

变量名	类型	静态	数组	备注
局_前面文本位置	整数型
局_后面文本位置	整数型
局_前面文本	字节集
局_后面文本	字节集

局_前面文本＝前面文本 ' 子文本替换 (前面文本, “#引号”, #引号, , , 真)
局_后面文本＝后面文本 ' 子文本替换 (后面文本, “#引号”, #引号, , , 真)
局_前面文本位置＝寻找字节集 (欲取全文本, 局_前面文本, 起始搜寻位置)

如果真 (局_前面文本位置 ≠ -1)

局_前面文本位置＝局_前面文本位置＋取字节集长度 (局_前面文本)
局_后面文本位置＝寻找字节集 (欲取全文本, 局_后面文本, 局_前面文本位置)

如果真 (局_前面文本位置＝ -1 或局_后面文本位置＝ -1)

返回 ({ })
返回 (取字节集中间 (欲取全文本, 局_前面文本位置, 局_后面文本位置－局_前面文本位置))

子程序名	返回值类型	公开	备注
文本_取随机字符	文本型		A-Z、a-z、0-9 中取出随机指定数量的字符
参数名	类型	参考	可空	数组	备注
要取出的字符数	整数型

变量名	类型	静态	数组	备注
局_临时文本	文本型
局_随机数	整数型

计次循环首 (要取出的字符数, )

局_随机数＝ _ASM_取随机数 (1, 3)

判断 (局_随机数＝ 1)

局_临时文本＝局_临时文本＋字符 (_ASM_取随机数 (48, 57))

判断 (局_随机数＝ 2)

局_临时文本＝局_临时文本＋字符 (_ASM_取随机数 (65, 90))

局_临时文本＝局_临时文本＋字符 (_ASM_取随机数 (97, 122))

计次循环尾 ()
返回 (局_临时文本)

子程序名	返回值类型	公开	备注
内存_搜索	整数型		某些情况，需提升权限(返回结果数目,失败返回0)
参数名	类型	参考	可空	数组	备注
进程ID	整数型				进程ID
搜索内容	字节集				欲搜索的内容其他类型-需自行转换为字节集类型
结果数组	整数型				用来保存搜索的结果

变量名	类型	静态	数组	备注
长度	整数型
操作句柄	整数型
内存地址	整数型
内存块信息	内存属性
数据缓冲区	字节集
读取结果	逻辑型
找到地址	整数型

清除数组 (结果数组)
长度＝取字节集长度 (搜索内容)
操作句柄＝ OpenProcess ( #PROCESS_ALL_ACCESS, 0, 进程ID) ' 取得操作句柄

判断循环首 (VirtualQueryEx (操作句柄, 内存地址, 内存块信息, 28) ≠ 0) ' 取得内存块信息

如果真 (内存块信息.当前属性 ≠ 16 且内存块信息.当前属性 ≠ 1 且内存块信息.当前属性 ≠ 512) ' 判断保护状态

数据缓冲区＝取空白字节集 (内存块信息.区域长度)

读取结果＝ ReadProcessMemory_字节集 (操作句柄, 内存地址, 数据缓冲区, 内存块信息.区域长度, 0)

判断循环首 (读取结果 ≠ 假)

找到地址＝寻找字节集 (数据缓冲区, 搜索内容, 找到地址) ' 查找是否有要搜索的数据

如果 (找到地址＝ -1) ' 跳出进行下次循环

跳出循环 ()

加入成员 (结果数组, 到数值 (内存地址＋找到地址－ 1))

找到地址＝找到地址＋长度

判断循环尾 ()

内存地址＝内存地址＋内存块信息.区域长度 ' 搜索下一内存块

处理事件 ()

判断循环尾 ()
CloseHandle (操作句柄)
返回 (取数组成员数 (结果数组))

.版本 2<br />
<br />
.子程序 内存_搜索, 整数型, 公开, 某些情况，需提升权限(返回结果数目,失败返回0)<br />
.参数 进程ID, 整数型, , 进程ID<br />
.参数 搜索内容, 字节集, , 欲搜索的内容  其他类型-需自行转换为字节集类型<br />
.参数 结果数组, 整数型, 参考 数组, 用来保存搜索的结果<br />
.局部变量 长度, 整数型<br />
.局部变量 操作句柄, 整数型<br />
.局部变量 内存地址, 整数型<br />
.局部变量 内存块信息, 内存属性<br />
.局部变量 数据缓冲区, 字节集<br />
.局部变量 读取结果, 逻辑型<br />
.局部变量 找到地址, 整数型<br />
<br />
清除数组 (结果数组)<br />
长度 ＝ 取字节集长度 (搜索内容)<br />
操作句柄 ＝ OpenProcess (#PROCESS_ALL_ACCESS, 0, 进程ID)  ' 取得操作句柄<br />
.判断循环首 (VirtualQueryEx (操作句柄, 内存地址, 内存块信息, 28) ≠ 0)  ' 取得内存块信息<br />
    .如果真 (内存块信息.当前属性 ≠ 16 且 内存块信息.当前属性 ≠ 1 且 内存块信息.当前属性 ≠ 512)  ' 判断保护状态<br />
        数据缓冲区 ＝ 取空白字节集 (内存块信息.区域长度)<br />
        读取结果 ＝ ReadProcessMemory_字节集 (操作句柄, 内存地址, 数据缓冲区, 内存块信息.区域长度, 0)<br />
        .判断循环首 (读取结果 ≠ 假)<br />
            找到地址 ＝ 寻找字节集 (数据缓冲区, 搜索内容, 找到地址)  ' 查找是否有要搜索的数据<br />
            .如果 (找到地址 ＝ -1)  ' 跳出 进行下次循环<br />
                跳出循环 ()<br />
<br />
            .否则<br />
                加入成员 (结果数组, 到数值 (内存地址 ＋ 找到地址 － 1))<br />
            .如果结束<br />
            找到地址 ＝ 找到地址 ＋ 长度<br />
        .判断循环尾 ()<br />
    .如果真结束<br />
    内存地址 ＝ 内存地址 ＋ 内存块信息.区域长度  ' 搜索下一内存块<br />
    处理事件 ()<br />
.判断循环尾 ()<br />
CloseHandle (操作句柄)<br />
返回 (取数组成员数 (结果数组))

wkn20051123 · 发表于 2023-12-24 16:40:41

弄快在哪？？？额

白胖胖o · 发表于 2018-10-6 11:10:02

重点在于PE结构的那个几个字符串

kiss0459 · 发表于 2018-9-5 09:18:28

源码在哪呢？

镇魂 · 发表于 2018-8-8 23:41:11

防VMP吗干嘛的

romobin · 发表于 2018-2-7 00:48:22

好多都替换了还是缺很多东西错误(34): 找不到指定的对象成员名称“当前属性”。编译现行易程序失败或被中止

romobin · 发表于 2018-2-7 00:37:13

很好的开源代码可惜没有模块 _ASM_取随机数这个也是没有的还是用不了

wenxiao1998 · 发表于 2017-2-7 15:27:15

不错，好东西

wangxinhui1314 · 发表于 2017-2-3 20:27:29

不错，好东西

偶尔有点帅 · 发表于 2017-1-11 10:58:56

没有找到名为“内存属性”的数据类型这个怎么搞

YY阿狸 · 发表于 2017-1-8 10:33:21

支持一下看看能不能用

		自动登录	找回密码
密码			注册

[易语言纯源码] [开源大赛作品]最后一波 ~ 防VMP 加密程序

点评

本帖被以下淘专辑推荐: