ic2266
資深會員
積分 4785
發文 934
註冊 2008-1-21 來自 學習
狀態 離線
|
|
2008-10-7 12:59 PM |
|
khiav
資深會員
積分 3589
發文 335
註冊 2006-8-15
狀態 離線
|
#622
Quote: | Originally posted by ic2266 at 2008-10-7 12:59 PM:
說過了勿來搗亂,您還來啊~ |
|
是 MP3 ....其它人就別下了.....
|
|
2008-10-8 03:14 AM |
|
jiahsuan
基本會員
積分 27
發文 7
註冊 2007-12-27
狀態 離線
|
#623
Quote: | Originally posted by khiav at 2008-10-8 03:14:
是 MP3 ....其它人就別下了..... |
|
khuav還沒睡呀!幫個忙,這個trillian 3.1 的語系包,剩下我不會弄!
我從簡體轉碼修辭,然後把簡體dll檔換成英文版!
現在使用上大概剩3成仍是英文!
http://jiashuan2.googlepages.com/tw.rar
|
|
2008-10-8 05:14 AM |
|
khiav
資深會員
積分 3589
發文 335
註冊 2006-8-15
狀態 離線
|
|
2008-10-8 05:18 AM |
|
jiahsuan
基本會員
積分 27
發文 7
註冊 2007-12-27
狀態 離線
|
#625
就是還有一些我不會弄,像是dll的繁體化!
|
|
2008-10-8 05:20 AM |
|
jiahsuan
基本會員
積分 27
發文 7
註冊 2007-12-27
狀態 離線
|
#626
xml可以繁化8成,dll檔似乎也得繁化,我拿到簡體漢化版時他們也有漢化dll,
我想我那個我改不了,就直接換成英文版,把xml轉成繁體修辭!
現在剩dll檔!這軟體很棒,一個就能上aim,icq,msn,yahoo,gmail!
其實就是msn+gmail才讓我覺得怎麼都沒人中文化!雖然用英文版都3年多!
|
|
2008-10-8 05:26 AM |
|
khiav
資深會員
積分 3589
發文 335
註冊 2006-8-15
狀態 離線
|
#627
Quote: | Originally posted by jiahsuan at 2008-10-8 05:20 AM:
就是還有一些我不會弄,像是dll的繁體化! |
|
你這個是通訊軟體,用語系包的(xml)...???
那就沒必要另外對 dll 做繁化.....
你把簡體語系轉為繁體語系,執行,仍為英文的就是沒列入語系包的東西,....
再來就是測試如果新增字串,軟體能不能直接調用語系檔內新增的東西,如果可以,那就對照 dlll 檔來新增,如果不行,就只好直接對軟體中文化.....
我想你可能是想做英-中的字典檔吧....
XML 語系檔是用 XMLSpy(http://www.altova.com) 製做的,先去下載,可以註冊試用 key 用它開啟 XML 用 Grid 模式檢視,你就可以看到兩欄英中對照(就像 CSV 檔).....用 右鍵 Copy as s.... 可以只複製文字......
再來就看你的努力了.......
要不然就看 Passolo 的解析能不能做這個.....
[ Last edited by khiav on 2008-10-8 at 05:58 AM ]
|
|
2008-10-8 05:50 AM |
|
屋塔房小貓
一般會員
積分 604
發文 37
註冊 2006-6-2
狀態 離線
|
#628
語系包看起來像是外掛的字串
dll 檔案則是"對話框"的部份,因此也需要繁體化
挑一個熟手工具把它繁體話應該可以解決您的問題,推薦使用 Multilizer、Sisulizer
推薦的原因是容易上手而且搭配 ConvertZ 簡體轉繁體的速度比較快。
|
|
2008-10-8 06:11 PM |
|
jiahsuan
基本會員
積分 27
發文 7
註冊 2007-12-27
狀態 離線
|
|
2008-10-10 06:11 AM |
|
khiav
資深會員
積分 3589
發文 335
註冊 2006-8-15
狀態 離線
|
#630
加密...??
特殊格式...??
你到官網去找找有關翻譯的說明(如果有的話).....
AVG 自己的格式,其它軟體幫不上忙......
就像 AD-xxxx 語系檔也是自己專用的加密格式,所以新的版本才一直沒有語系檔...
|
|
2008-10-10 08:21 AM |
|
jiahsuan
基本會員
積分 27
發文 7
註冊 2007-12-27
狀態 離線
|
#631
真的沒人知道怎麼分析他是如何加密的嗎?
很想中文化它!
|
|
2008-10-10 09:50 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10 來自 滅絕希望的世界
狀態 離線
|
#632
Quote: | Originally posted by jiahsuan at 2008-10-10 21:50:
真的沒人知道怎麼分析他是如何加密的嗎?
很想中文化它! |
|
沒有分析的必要,語言檔是特定語言編輯器編譯的,jiahsuan 大去信官方詢問看看 [avg8us.lng] 要用什麼語言編輯器翻譯編輯。
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
2008-10-12 11:59 PM |
|
123456111
基本會員
積分 11
發文 5
註冊 2008-7-28
狀態 離線
|
#633
請問各位大大 這總殼 要怎麼脫
MoleBox V2.3X -> MoleStudio.com [Overlay] *
Allok RM RMVB to AVI MPEG DVD Converter 這軟體 她是這總殼 不知道怎麼脫 請幫忙一下
|
|
2008-10-13 10:56 PM |
|
bko
資深會員
積分 4792
發文 636
註冊 2008-9-28
狀態 離線
|
#634 請教一個匯出翻譯檔的問題
我中文化了Defraggler v1.03.093 免安裝版這個程式,雖差強人意,但也還可以看得懂了。
依照這篇主題的「2. 匯出翻譯再匯入:」方法,在翻譯引擎加入了v1.03.093 的翻譯檔,然後想中文化v1.03.094,卻發現只翻譯了一部分(如圖);很多已翻譯好的都沒翻譯出來。不知道是怎麼回事?
我使用的是Sisulizer 2008(272)來處理。
|
|
2008-10-15 10:01 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10 來自 滅絕希望的世界
狀態 離線
|
|
2008-10-17 03:32 AM |
|
bko
資深會員
積分 4792
發文 636
註冊 2008-9-28
狀態 離線
|
#636
非常感謝 yoyo007 區版主的教學!
雖然不明白其中一些設定,但按照步驟來做,真的可以把新版的軟體也中文化了!
感謝!!
補充一下:
上面的方法很棒!一下就解決我的問題了。不過,我還是想請教有沒有匯出翻譯檔(還是叫做字典檔?),然後在翻譯引擎匯入字典檔的方式來翻譯新版的軟體?因為那篇教學是用舊版的Sisulizer來說明,介面有點不太一樣,我雖然盡量試著摸索去做,卻無法採用字典檔翻譯的方式來翻譯新版軟體...
[ Last edited by bko on 2008-10-18 at 06:33 AM ]
|
|
2008-10-17 06:56 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10 來自 滅絕希望的世界
狀態 離線
|
#637
Quote: | Originally posted by bko at 2008-10-17 18:56:
補充一下:
上面的方法很棒!一下就解決我的問題了。不過,我還是想請教有沒有匯出翻譯檔(還是叫做字典檔?),然後在翻譯引擎匯入字典檔的方式來翻譯新版的軟體? |
|
恭喜問題解決;SL 匯出翻譯成字典,新舊版方式大同小異,只是匯出的字典再匯入作為翻譯字典,使用翻譯引擎翻譯更新版本會有部分字串遺漏的問題,這部分可以改匯入專案作為翻譯字典解決。其它軟體的話,Passolo 優先考慮,或關鍵字 [中文化工具] 搜尋一下版塊。
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
2008-10-27 07:49 AM |
|
bko
資深會員
積分 4792
發文 636
註冊 2008-9-28
狀態 離線
|
#638
謝謝版大的說明。
我發覺光靠一個Sisulizer似乎無法完成所有的軟體中文化...最近試著中文化新版的FlashGet,在Sisulizer中已經全部翻譯了,卻仍有一些字還是沒有翻譯到。但我用文書編輯軟體16進位看檔,卻可以在檔案裡面找到字串?而且有時Sisulizer在掃瞄某些檔案時會發生當掉的情況...中文化這條路沒我想像中的好走啊!
有空的話,再來研究Passolo怎麼用。謝謝囉!
|
|
2008-10-27 05:04 PM |
|
nsktpi
基本會員
積分 151
發文 26
註冊 2008-10-27
狀態 離線
|
#639 脫殼經驗談
原文轉自:UnPacKcN Security
文章作者:HyperChem
學破解時間也不長了,也學了一些脫殼的技術,過程中感觸頗深。這裡給大家分享一下,也算是給脫殼新手的一個指導。
菜鳥心得,高手飄過~ 當然你要看,我也不反對~~
關於工具
關於OD
所謂工欲善其事,必先利其器。要想學習脫殼的話,有幾種不同的OD是很重要。因為有時在除錯一些強殼的時候,有些改造過的OD可以躲過殼的深層檢查,再配合一些OD外掛程式就可以完全讓殼偵測不到除錯器的存在了。這裡推薦幾款比較好的OD:
1,fly改造的OD。可以除錯大多數殼,但是由於不能使用phanom 1.3版的外掛程式,導致在除錯某些強殼(如Aspr 2.x)的時候會被偵測到。
2,ImmunityDebugger.這款OD可以比較順利的除錯Aspr等其他強殼。國內也有了中文版。只是介面背景是黑色的,我實在不習慣這種介面,喜歡的人可以試試。
關於其他的工具
1,LordPE。推薦大家在Dump程式的時候使用這個工具。或許大家在脫簡單的壓縮殼時習慣使用OD的脫殼外掛程式來抓取記憶體映像,但是如果大家有除錯穿山甲等強殼的經驗就會知道,如果用OD外掛程式抓取記憶體映像就會出現OD被卡死的狀態,這或許是OD外掛程式的Bug,也可能是殼的反Dump模式,反正會影響到我們標準的脫殼。所以這裡推薦使用LordPE來抓取映像檔案。而且在需要補區段的時候,用LordPE可以很方便的進行區域抓取。此外,作為一款PE編輯器,LordPE也是很優秀的。相比之下,PEtools就有點兒差了,對於PE檔案有些動作會導致檔案損壞,不知道為什麼。大家還是用LordPE吧。
2,ImportReconstruction。這是一款專業級的輸入表重建工具。由於它支援外掛程式延伸,可以大大提高對於加密殼的脫殼成功率。但是請大家不要過於依賴這款軟體,學會手動修復輸入表是很必要的。在ImportREC不能修復的時候,我們只能靠手動修復。手動修復一方面可以練習除錯技術,另一方面可以讓我們更加深入的去瞭解PE檔案的工作模式。
關於脫殼方法
相信大家都像我一樣看過一些脫文,在裡面告訴我們下這個API斷點,然後走多少步,再怎麼樣怎麼樣就可以到OEP了。反正具體為什麼這麼動作,作者都隻字不提。當我看到這些脫文的時候,基本上是一頭霧水。加上我這個人比較倔強,對於我不懂的方法是不會接受的,所以那段時間,脫殼的等級基本上止步不前。實踐是最好的老師,自己親手除錯了些殼以後就明白為什麼了。當時我有個這樣的顧慮,就是「我真的能除錯這些殼,那可是前輩們幹的事兒啊」,但是真正除錯後才發現其實並沒有那麼難的。當我第一次手脫了一個Aspr 1.23RC1的時候,真的好興奮,那種感覺就像一個初出茅廬的小賊利用自己學過的書本上的技能到**局偷出了一根**局長的頭髮,雖然沒有值得炫耀的,但是對於自信心卻是很大的鼓勵。所以加密殼沒有好怕的,你只要想辦法躲過殼的所有檢驗,然後乖乖的走到OEP就可以了!至於如何躲過這些檢驗,那就要你在除錯中不斷積累經驗,以及借助別人的經驗了。
所謂授之以魚,不如授之以漁。學習脫殼還是理解方法,才能真正學會。
所以我對於那些脫文的態度是這樣的:
1,對於所謂的方法先置之不理,自己手動除錯一遍,瞭解殼的流程(一般來說,當你除錯到OEP的時候,這個殼你應該除錯了10遍以上了)。
2,當遇到實在過不去的檢驗的時候再看脫文,瞭解它是怎麼過去的。這樣印象深刻一些。並在下次遇到這樣狀況的時候能自己解決。
3,當自己完全脫掉這個殼後,再看下脫文,這個時候你應該就可以明白為什麼下那些API斷點了。下次就可以不用這樣手脫了,照著脫文給的快捷方法脫殼就可以了。這個時候對於出現和脫文上不同的情況,我想你應該也會處理了。
再說說如何除錯殼呢。
1,首先要選取並組態好OD,尤其對於強殼一定要這麼做。組態OD內含異常設定,移除int3斷點(因為有些殼會偵測Int3斷點的),OD的標題隱藏等。當這些都設定好,要在OD中執行一次,確保你要脫殼的程式能在現用的OD中順利的執行(對於有些帶驅動的殼可以不這麼做,因為必須在沒有驅動的條件下才能除錯。),這樣可以在除錯時省去不少躲避除錯器檢查的時間。(當然有些殼還是要在除錯中躲避檢查的。)
2,個人認為,基本的除錯方法有:單步法,最後一次異常法。這兩種方法在邏輯上都是比較好理解的。在除錯的過程中要配合記憶體斷點,硬體斷點,Int3斷點以及F4來簡化除錯過程。如可以用F4來跳出循環;硬體斷點可以用來記錄除錯進度,當程式不小心跑飛的時候,可以在相應的位置下硬體執行斷點,重新來過後就可以直接到達跑飛的位置了;靈活運用記憶體斷點可以使得除錯變得很容易,也是提高除錯技巧的一種方法。
當你可以熟練的運用這些方法的時候,任何的殼都可以搞定了,任何一個加殼的程式就像躺在床上的**,等著你脫了~ ^-^
關於OEP的到達
我們脫殼的目的就是為了到達OEP,但是如果判斷是不是到達了OEP了呢?前輩們告訴我們一個方法,注意跨段跳轉或轉移。這確定是唯一判斷標準。但是很多的教學中都把這句話誤解為了:「注意大的跳轉」,使得很多新手都被搞的雲裡霧裡的,看到大跳轉就興奮。
首先澄清一個誤解,什麼叫做「跨段轉移或跳轉」?這裡面所謂的段指的是一個區段,是指被分割成一段段的記憶體。跨段跳轉顧名思義,是指EIP指標從一個區段跳到了另一個區段。而不是所謂的大的跳轉。如果EIP所在的區段很大,段內跳轉也可以很大,這裡所謂大的跳轉本身就是一個很模糊的概念。
其次,並不是出現跨段跳躍就是要到OEP了。一般加密殼在解碼的時候會在記憶體中申請空間,並在那裡實行解碼。一般來說是殼會申請很多段這樣的空間,然後在解碼的時候從這個段跳到那個段。這些段就是我們在除錯的時候在目的程式區段後面的那些沒有名字的區段部分。所以說在這些段裡面的跳躍一般不會到OEP的。
再次,那麼你會說了,那到底怎麼判斷呢?大多數殼把程式解碼後會跳到目的程式的code段的進行執行。那麼方法就出現了,在除錯的時候可以先看下code段的位址範圍,如果在除錯過程中出現了跳躍到這個位址範圍記憶體的跳轉或轉移的話,那麼十有**就是要去OEP了!
此外,對於OEP的判斷可以通過不同語系指令的程式入口點特徵來判斷,當然這完全就是經驗的問題,需要大家不斷的積累。就像天草說的,記住入口特徵這句話我都說了八百遍了。
不過,這裡有個小技巧,就是通過檢視資源類型來大致判斷。因為殼很少資源清單進行處理,所以如果檢視資源,發現存在RCData的話,就可以認為程式應該Delphi或是BC++的;如果資源中有對話窗,選單等資源,而且資源名稱都比較規則的話(這主要是為了區分VB以及E語系),就可以判斷是MS VC++的了;如果在程式安裝目錄中發現*.fnr等類型的檔案話,基本可以認定是E語系的了(現在E語系的程式越來越多了);如果在程式的末尾發現附加資料的很多的話(一般要大小的數量級在KB以上),那應該也是E語系的(這個時候大家應該明白為什麼E語系程式查殼的時候為什麼顯示的時候Microsoft VC++[OVERLAY]了吧)。
關於學習方法
這應該是老生常談了。學習方法因人而異,沒有必要強調某種方法,方法的目的只有一個,就是掌握你學到的東西東西並與以前的知識融匯貫通。論語中的那句話「溫故而知新」,確定很有道理。當你學到一些東西後,回過頭來看以前學的東西,你會發很多新的東西,可以加深對某些知識點的理解。這點是沒有任何方法可以替代的。這裡推薦兩種方法:
1,錄影。把你的脫殼學習過程錄影,當你忘記的時候,回憶起來也會很快的。
2,做好筆記。OD有個很好的外掛程式Godup可以在除錯的過程中做好記錄。從某種程度上講,記錄是你除錯過這個殼唯一證據。
關於到OEP的一些特徵代碼
現在的殼變聰明了,很少再使用Jump **X這樣的模式來到OEP了。下面介紹幾種流行的方法。
1,push 寄存器或是位址
retn
這種方法是利用retn來實現遠跳轉的,原理同call子程式的後回到的
原理一樣,即通過push一個值到堆積棧頂,然後用retn指令即可回到到堆積棧頂指向的位址。
2,mov dword ptr[**],**X
jnz **XX
retn
push 0 這個位址是上面的mov指令動態填寫的
retn
這樣的條轉在ASPac和ASprotect中使用過。
3,mov 寄存器,**X
call 寄存器
這個在穿山甲的殼中可以看到。
4,還有使用Leave指令進行跳轉的,大家也可以注意下。
5,使用SEH。後面會提到。
關於SEH
SEH,Structure Exceptions Handle,結構化異常處理,是加密殼程式經常使用的橋段。主要用這種方法來實現非標準跳轉(可能還有其他作用,我現在只理解到這裡)。對於SEH的具體技術細節我也搞不明白,也不用管它,OD給了我們一個很好用的功能,就是在堆積棧會顯示SE識別碼。這是什麼意思呢?你只要知道當出現異常後,系統處理完異常就會跳到這裡來繼續執行。 那麼我們可以通過在這個地方下好斷點,然後Shift+F9,就可以繼續除錯了!
關於自校檢
現在帶有脫殼自檢驗的程式還是很多的。自校驗類型大致分為以下幾個類型。
1,CreateFile型。這種自檢驗一般都會呼叫CreatFileA(W)函數來對於自身。然後
通過GetFileSize取得檔案大小,因為一般脫殼後檔案大小會變,通過比較檔案的大小來偵測是否被脫殼。
通過SetFilePointer來設定檔案指標,然後通過ReadFile讀取檔案中的一些資料,來判斷是否被脫殼(一般來說讀取的時候附加資料)
2,記憶體型。這種自檢一般是對程式在記憶體中映像進行CRC,MD5等檢驗,如果不相等則認為已脫殼或被修改。
3,腳本語系型。腳本寫程式語系指的是像autoit,autohotkey等語系。這種語系指令出來的程式一般都是天生帶殼的,而且自校驗是對附加資料進行多次細緻的檢查,如果不弄清楚檢驗過程,即使變更跳轉也不能讓程式標準執行。有機會大家可以試試。
4,殼校檢型。這種校驗是在主程式中插入一些跳到殼位址中的代碼,並回到一些無關緊要的資料或做無關緊要的動作。如果程式被脫殼了,這些代碼執行的時候就會出現異常。
還有一些其他類型,但是現在還有總結出比較好的說法,以後再補充。
相應的處理方法。
1,直接對API下斷,基本就可以到達解密點。
2,用PEID外掛程式可以檢視算法的所在位置,就可以到達解密點了。
3,沒有別的方法,運用API斷點耐心除錯吧
4,在OD執行程式,出現異常後,在堆積棧中找到回到的位置,nop掉相應的指令即可。
關於脫殼腳本
腳本應該是前輩沒有留給我們最好的財富了,有了這些東西,我們可以在不瞭解任何脫殼細節的情況下脫掉殼。但是如果想學脫殼技術的話,那麼請把它當作你的老師。因為腳本中包括著你遇到問題的所有答案~ 而且當你瞭解了以後,還可以自己改進腳本的功能。借用達朗貝爾的一句話:多讀讀高斯,他是我們每個人的老師~
關於花指令
可能有些新手看到殼那些亂七八糟的指令會發怵的,這些都是殼為了阻止除錯者所設的花指令,或許你不知道這些指令怎麼執行,但是殼是是知道的,它不可能去執行一坨不能執行的指令的,有些指令是動態解碼的,有些是花指令。你在除錯的時候只要看著現用指令F8(7)就可以了,不用管別的。再借用達朗貝爾的一句話(怎麼又是他?):前進吧,你會有信心的!
關於心態
除錯殼是需要很大耐心的,就像破解一樣! 所以如果你已經下好決心的話,那麼請同時做好心裡準備!
最後送大家一句話,關鍵是要對她有愛~ 只有真正對這個東西感興趣,你才能真正學到東西!
[ Last edited by yoyo007 on 2008-10-30 at 08:21 PM ]
|
|
2008-10-28 06:11 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10 來自 滅絕希望的世界
狀態 離線
|
#640
Quote: | Originally posted by bko at 2008-10-27 17:04:
最近試著中文化新版的FlashGet,在Sisulizer中已經全部翻譯了,卻仍有一些字還是沒有翻譯到。但我用文書編輯軟體16進位看檔,卻可以在檔案裡面找到字串?而且有時Sisulizer在掃瞄某些檔案時會發生當掉的情況... |
|
首先認識 [標準資源] 和 [非標準資源]:[標準資源] 是指可被如 ML、SL、Passolo、ResScope、ResHacker、Restorator ...等本地化工具識別的軟體資源;[非標準資源] 則如您使用十六進位編輯工具所看到的那些字串資源,必須改用 CXA、CXAT、點睛字串替換器、點睛助手、GetVBRes、GetStrRes、Athena-A ...等工具來處理,這些是無法由 ML、SL、Passolo、ResScope、ResHacker、Restorator ...等本地化工具剖析的。
SL 掃瞄檔案當掉的原因,可能資源無法識別引起的,被加殼或者脫殼後資源未修復正常,或者其它因素等等。
Quote: | Originally posted by nsktpi at 2008-10-28 18:11:
學破解時間也不長了,也學了一些脫殼的技術,過程中感觸頗深。這裡給大家分享一下,也算是給脫殼新手的一個指導。
菜鳥心得,高手飄過~ 當然你要看,我也不反對~~ |
|
文章轉載麻煩請標註原創作者及文字註明出處,謝謝;#639 已修飾。
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
2008-10-30 08:21 PM |
|