DeJunk.ini
上传用户:bjwsw2004
上传日期:2014-10-10
资源大小:2404k
文件大小:15k
源码类别:

破解

开发平台:

MultiPlatform

  1. ; DeJunk v1.10 的特征文件。此文件附属于 DeJunk 程序,请不要删除!!! 
  2. ; 简要说明:
  3. ; [OPTION]下有4项描述项目: "PrePatName" / "ActivePatList"
  4. ;           
  5. ;       MENU                    显示在OLLYDBG右键菜单用的项目,必须有相应的 ActivePatList?,就是说有3项菜单的话,就应该有ActivePatList1,ActivePatList2,ActivePatList3,以些类推
  6. ;        
  7. ;       SCANSIZE                右键菜单中的快捷搜索大小(字节)
  8. ;
  9. ; PrePatName 描述花指令特征模板(以后简称特征模板)名称的前缀,一般不需要改动.
  10. ;
  11. ; ActivePatList?         描述花指令特征模板名称的后缀列表.
  12. ; 在列表中出现的名称后缀将分别和特征模板名称的前缀合并成一个完整的花指令特征模板名称
  13. ; 在列表中合并得到的特征模板名称,将被程序激活使用.
  14. ;
  15. ; [模板名前缀+模板名后缀]下只有两项描述项目: "S" / "R"
  16. ;
  17. ; S 描述花指令的特征字节串,对于可为任意值的字节可以使用 ?? 代替,最长为200字节,不要超过
  18. ; R 描述是否需要进行替换的标志, ??为保留原来的字节, 其它为替换成相应字节.
  19. ;
  20. ; 使用时注意事项:
  21. ; 1) 使用 DeJunk 程序前可以通过设置 ActivePatList 来达到只搜索部分花指令特征的目的.
  22. ; 这对于特征文件中有太多的特征信息时非常有用.
  23. ; 2) 可以通过改变 PrePatName 达到屏蔽掉不希望使用的某些种类的花指令特征时非常有用.
  24. ; 比如你可以对不同程序中提取的花指令特征模板命名不同的前缀名称,这样你可以有效地管 理花指令特征信息.
  25. ; 3) 尽量把字节数多的特征信息放在 ActivePatList 后缀列表的前面,因为有些特征信息是包含或者重叠关系,
  26. ; 一旦字节数少的特征模板匹配成功,程序不会继续匹配其他特征模板.而一般字节数少的特征模板更容易被匹配,
  27. ; 并且也容易成为被其他特征模板包含.
  28. ;
  29. ;
  30. [OPTION]
  31. ; 这是显示在OLLYDBG中的菜单项,以 | 分开,前面为序号与 ActivePatList? 对应
  32. MENU = 1 ObSiDiUm | 2 幻影花指令(DBPE) | 3 SVK V1.32 | 4 常用花指令 | 5 PELock 1.0 | 6 ACProtect(UltraProtect) | 8 Alex Protector | 9 AsProtect | 10 PEsPin |
  33. ;右键菜单中选择后进行搜索的大小(十进制)
  34. SCANSIZE = 1024
  35. PrePatName = "CODE"
  36. ;这个对应第1项菜单
  37. ActivePatList1 = _jmp01,_jmp02,_jmp03,_jmp04,
  38. ;这个对应第2项菜单,以此类推
  39. ActivePatList2 = _T1,_T2,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22
  40. ;这个对应第3项菜单,以此类推
  41. ActivePatList3 = _jmp01,_jmp02,_jmp03,
  42. ActivePatList4 = _T1,_T2,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22
  43. ActivePatList5  = _jmp01,_jmp02,_jmp03,1,2,3,4,5,6,7,8,9,10,11,12,13,_call05,_call06,
  44. ActivePatList6 = 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,_jmp01,_jmp11,_jmp12,_jmp13,_jmp15,_call00,_call01,_call04
  45. ActivePatList7 = _T1,_T2,hying1,hying2,hying3,hying4,hying5,hying6,hying7,hying8,hying9,hying10,hying11,hying12,hying13
  46. ActivePatList8  = _Alex1,_Alex2,_Alex3,_Alex4,_Alex5,_Alex6,_Alex7,_Alex8,
  47. ActivePatList9  = _ASPR_jmp01,_ASPR_jmp02,_ASPR_jmp03,_ASPR_jmp04,_ASPR_jmp05,_ASPR_jmp06,_ASPR_jmp07,_jmp02,_ASPR_jmp08
  48. ActivePatList10  = _Pes1,_jmp01,_jmp02,_call0111,_PESPIN1,_Pespin_jne01,_pESPIN_JMP01,_PesPin_Call02,_PesPin_jmp02,_PesPin_Call01,_PesPin_STC01,_call021,_PesPin_jmpEsp01,_PesPin_STC02
  49. ActivePatList11  =_JDPack1,_JDPack2,_JDPack3,_JDPack4,_JDPack5,_JDPack6,_JDPack7,_JDPack8,_JDPack9,_JDPack10,_JDPack11,_JDPack12,_JDPack13,_JDPack14,_JDPack15,_JDPack16
  50. ;这个字串最长500字节,不要超过.
  51. [CODE_T1]
  52. ; pushf
  53. ; push 0Ah
  54. ;loc_1: jnb loc_3
  55. ; jmp loc_2
  56. ; _TWO_BYTE_JUNKCODE_
  57. ;loc_2: call loc_4
  58. ; _TWO_BYTE_JUNKCODE_
  59. ;loc_3: jnb loc_2
  60. ; _TWO_BYTE_JUNKCODE_
  61. ;loc_4: add esp,4
  62. ; jmp loc_5
  63. ; _TWO_BYTE_JUNKCODE_
  64. ;loc_5: dec dword ptr [esp]
  65. ; jno loc_6
  66. ; _ONE_BYTE_JUNKCODE_
  67. ;loc_6: jns loc_1
  68. ; jp loc_7
  69. ; _ONE_BYTE_JUNKCODE_
  70. ;loc_7: add esp,4
  71. ; popf
  72. ; jmp loc_8
  73. ; _ONE_BYTE_JUNKCODE_
  74. ;loc_8: ......
  75. S = 9C6A??730BEB02????E806000000????73F7????83C404EB02????FF0C247101??79E07A01??83C4049DEB01??
  76. R = 909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090
  77. [CODE_T2]
  78. ; pushf
  79. ; jb loc_3
  80. ;loc_1: jmp loc_2
  81. ; _ONE_BYTE_JUNKCODE_
  82. ;loc_2: call loc_4
  83. ; _TWO_BYTE_JUNKCODE_
  84. ;loc_3: jb loc_1
  85. ; _ONE_BYTE_JUNKCODE_
  86. ;loc_4: add esp,4
  87. ; popf
  88. ; jmp loc_5
  89. ; _ONE_BYTE_JUNKCODE_
  90. ;loc_5: ....
  91. S = 9C720AEB01??E805000000????72F4??83C4049DEB01??
  92. R = 9090909090909090909090909090909090909090909090
  93. [CODE1]
  94. ; jo label
  95. ; jno label
  96. ; db _junkcode
  97. ;label: ....
  98. ; ....
  99. S = 70037101??
  100. R = 9090909090
  101. [CODE2]
  102. ; jb label
  103. ; jnb label
  104. ; db _junkcode
  105. ;label: ....
  106. ; ....
  107. S = 72037301??
  108. R = 9090909090
  109. [CODE3]
  110. ; je label
  111. ; jne label
  112. ; db _junkcode
  113. ;label: ....
  114. ; ....
  115. S = 74037501??
  116. R = 9090909090
  117. [CODE4]
  118. ; jbe label
  119. ; ja label
  120. ; db _junkcode
  121. ;label: ....
  122. ; ....
  123. S = 76037701??
  124. R = 9090909090
  125. [CODE5]
  126. ; js label
  127. ; jns label
  128. ; db _junkcode
  129. ;label: ....
  130. ; ....
  131. S = 78037901??
  132. R = 9090909090
  133. [CODE6]
  134. ; jpe label
  135. ; jpo label
  136. ; db _junkcode
  137. ;label: ....
  138. ; ....
  139. S = 7A037B01??
  140. R = 9090909090
  141. [CODE7]
  142. ; jl label
  143. ; jge label
  144. ; db _junkcode
  145. ;label: ....
  146. ; ....
  147. S = 7C037D01??
  148. R = 9090909090
  149. [CODE8]
  150. ; jle label
  151. ; jg label
  152. ; db _junkcode
  153. ;label: ....
  154. ; ....
  155. S = 7E037F01??
  156. R = 9090909090
  157. /////////////////////////////////////////
  158. //以下几种是 CODE1 - CODE8 的倒装形式
  159. /////////////////////////////////////////
  160. [CODE9]
  161. ; jno label
  162. ; jo label
  163. ; db _junkcode
  164. ;label: ....
  165. ; ....
  166. S = 71037001??
  167. R = 9090909090
  168. [CODE10]
  169. ; jnb label
  170. ; jb label
  171. ; db _junkcode
  172. ;label: ....
  173. ; ....
  174. S = 73037201??
  175. R = 9090909090
  176. [CODE11]
  177. ; jne label
  178. ; je label
  179. ; db _junkcode
  180. ;label: ....
  181. ; ....
  182. S = 75037401??
  183. R = 9090909090
  184. [CODE12]
  185. ; ja label
  186. ; jbe label
  187. ; db _junkcode
  188. ;label: ....
  189. ; ....
  190. S = 77037601??
  191. R = 9090909090
  192. [CODE13]
  193. ; jns label
  194. ; js label
  195. ; db _junkcode
  196. ;label: ....
  197. ; ....
  198. S = 79037801??
  199. R = 9090909090
  200. [CODE14]
  201. ; jpo label
  202. ; jpe label
  203. ; db _junkcode
  204. ;label: ....
  205. ; ....
  206. S = 7B037A01??
  207. R = 9090909090
  208. [CODE15]
  209. ; jge label
  210. ; jl label
  211. ; db _junkcode
  212. ;label: ....
  213. ; ....
  214. S = 7D037C01??
  215. R = 9090909090
  216. [CODE16]
  217. ; jle label
  218. ; jg label
  219. ; db _junkcode
  220. ;label: ....
  221. ; ....
  222. S = 7F037E01??
  223. R = 9090909090
  224. /////////////////////////////////////////
  225. /////////////////////////////////////////
  226. [CODE17]
  227. ; call label_1
  228. ; db _junkcode,_junkcode
  229. ; jmp label_4
  230. ;label_1: pop eax
  231. ; jmp label_2
  232. ; db _junkcode,_junkcode
  233. ;label_2: add eax,2
  234. ; jmp label_3
  235. ; db _junkcode
  236. ;label_3: push eax
  237. ; ret
  238. ; db _junkcode
  239. ;label_4: ....
  240. ; ....
  241. S = E804000000????EB0E58EB02????83C002EB01??50C3??
  242. R = 9090909090909090909090909090909090909090909090
  243. [CODE18]
  244. ; push ecx
  245. ; xor ecx,ecx
  246. ; jcxz label
  247. ; db _junkcode
  248. ;label: pop ecx
  249. ; ....
  250. ; ....
  251. S = 5131C9E301??59
  252. R = 90909090909090
  253. [CODE19]
  254. ; jl label_1
  255. ;label_2: jmp label_3
  256. ; db _junkcode
  257. ;label_1: jz label_2
  258. ;label_3: ....
  259. ; ....
  260. S = 7C03EB03??74FB
  261. R = 90909090909090
  262. [CODE20]
  263. ; call label_1
  264. ; db _junkcode,_junkcode,_junkcode
  265. ;label_1: add esp,4
  266. ; jmp label_2
  267. ; db _junkcode,_junkcode,_junkcode
  268. ;label_2: jmp label_3
  269. ; db _junkcode,_junkcode
  270. ;label_3: ....
  271. ; ....
  272. S = E803??????83C404EB03??????EB02????
  273. R = 9090909090909090909090909090909090
  274. [CODE21]
  275. ; call label_1
  276. ; db _junkcode
  277. ; jmp label_4
  278. ; db _junkcode
  279. ;label_1: pop edi
  280. ; jmp label_2
  281. ; db _junkcode
  282. ;label_2: inc edi
  283. ; jmp label_3
  284. ; db _junkcode
  285. ;label_3: jmp edi
  286. ; db _junkcode
  287. ;label_4: ....
  288. S = E804000000??EB0C??5FEB01??47EB01??FFE7??
  289. R = 9090909090909090909090909090909090909090
  290. [CODE22]
  291. ; call label_1
  292. ; db _junkcode,_junkcode
  293. ; jmp label_4
  294. ;label_1: pop ecx
  295. ; jmp label_2
  296. ; db _junkcode,_junkcode
  297. ;label_2: add ecx,2
  298. ; jmp label_3
  299. ; db _junkcode
  300. ;label_3: push ecx
  301. ; ret
  302. ; db _junkcode
  303. ;label_4: ....
  304. ; ....
  305. S = E804000000????EB0E59EB02????83C102EB01??51C3??
  306. R = 9090909090909090909090909090909090909090909090
  307. [CODE_jnz01]
  308. S = 7501??
  309. R = 909090
  310. [CODE_jmp01]
  311. S = EB01??
  312. R = 909090
  313. [CODE_jmp02]
  314. S = EB02????
  315. R = 90909090
  316. [CODE_jmp03]
  317. S = EB03??????
  318. R = 9090909090
  319. [CODE_jmp04]
  320. S = EB04????????
  321. R = 909090909090
  322. [CODE_jmp05]
  323. S = EB05??????????
  324. R = 90909090909090
  325. [CODE_jmp06]
  326. S = EB06????????????
  327. R = 9090909090909090
  328. [CODE_jmp07]
  329. S = EB07??????????????
  330. R = 909090909090909090
  331. [CODE_jmp08]
  332. S = EB08????????????????
  333. R = 90909090909090909090
  334. [CODE_jmp09]
  335. S = EB09??????????????????
  336. R = 9090909090909090909090
  337. [CODE_jmp11]
  338. S = E901000000??
  339. R = 909090909090
  340. [CODE_jmp12]
  341. S = E902000000????
  342. R = 90909090909090
  343. [CODE_jmp13]
  344. S = E903000000??????
  345. R = 9090909090909090
  346. [CODE_jmp14]
  347. S = E904000000????????
  348. R = 909090909090909090
  349. [CODE_jmp15]
  350. S = E905000000??????????
  351. R = 90909090909090909090
  352. [CODE_call04]
  353. ; call label_1
  354. ; db _junkcode
  355. ;label_1:         add esp,4
  356. S = E801000000??83C404
  357. R = 909090909090909090
  358. [CODE_telock_call02_1]
  359. S = E802000000????3006465A
  360. R = 9090909090909030064690
  361. [CODE_telock_call02_2]
  362. S = E802000000E800E8000000005E2BC9587402????
  363. R = 90909090909090E8000000005E2BC99090909090
  364. [CODE_call00]
  365. ;                       push    eax
  366. ; call label_1
  367. ; db _junkcode
  368. ;label_1:         pop eax
  369. ;                       pop     eax
  370. S = 50E801000000??5858
  371. R = 909090909090909090
  372. [CODE_call01]
  373. ; call label_1
  374. ; db _junkcode
  375. ;label_1:         add     dword ptr ss:[esp],6
  376. ;                       ret
  377. S = E801000000??83042406C3
  378. R = 9090909090909090909090
  379. [CODE_call02]
  380. ; call label_1
  381. ; db _junkcode,_junkcode
  382. ; db _junkcode,_junkcode
  383. ;label_1:         add esp,4
  384. S = E802000000????83C404
  385. R = 90909090909090909090
  386. [CODE_call03]
  387. ; call label_1
  388. ; db _junkcode,_junkcode
  389. ; db _junkcode,_junkcode
  390. ; db _junkcode,_junkcode
  391. ;label_1:         add esp,4
  392. S = E803000000??????83C404
  393. R = 9090909090909090909090
  394. [CODE_clc_jnb01]
  395. ; CLC
  396. ; JNB  label_1
  397. ; db  _junkcode
  398. ;label_1:
  399. S = F87301??
  400. R = 90909090
  401. [CODE_clc_jnb02]
  402. ; CLC
  403. ; JNB  label_1
  404. ; db  _junkcode
  405. ; db  _junkcode
  406. ;label_1:
  407. S = F87302????
  408. R = 9090909090
  409. [CODE_slc_jb01]
  410. ; CLC
  411. ; JNB  label_1
  412. ; db  _junkcode
  413. ; db  _junkcode
  414. ;label_1:
  415. S = F97201??
  416. R = 90909090
  417. [CODE_slc_jb02]
  418. ; CLC
  419. ; JNB  label_1
  420. ; db  _junkcode
  421. ; db  _junkcode
  422. ;label_1:
  423. S = F97202????
  424. R = 9090909090
  425. [CODE_??]
  426. ;loc_3: .....
  427. ; jmp loc_5
  428. ; db 5 dup(?)
  429. ;loc_2: pop ecx
  430. ; jp loc_3
  431. ; jmp loc_4
  432. ; db 1 dup(?)
  433. ;loc_4: jnp loc_3
  434. ; db 1 dup(?)
  435. ;loc_1: push ecx
  436. ; jmp loc_2
  437. ; db 7 dup(?)
  438. ;loc_0: jmp loc_1
  439. ; db ? dup(?)
  440. ;loc_8: //正常指令.....
  441. ; jmp loc_10
  442. ; db 5 dup(?)
  443. ;loc_7: pop ecx
  444. ; jp loc_8
  445. ; jmp loc_9
  446. ; db 1 dup(?)
  447. ;loc_9: jnp loc_8
  448. ; db 1 dup(?)
  449. ;loc_6: push ecx
  450. ; jmp loc_7
  451. ; db 7 dup(?)
  452. ;loc_5: jmp loc_6
  453. ; db ? dup(?)
  454. ;loc_10: .....
  455. [CODE_??]
  456. ; jmp label
  457. ; db _junkcode
  458. ;label: ....
  459. ; ....
  460. [CODE_call05]
  461. ; call label_1
  462. ; db _junkcode
  463. ;label_1:         POP     [ESP-4]
  464. S = E801000000??8F4424FC
  465. R = 90909090909090909090
  466. [CODE_call06]
  467. ; call label_1
  468. ; db _junkcode
  469. ;label_1:         LEA     ESP, [ESP+4]
  470. S = E801000000??8D642404
  471. R = 90909090909090909090
  472. /////////////////////////////////////////
  473. /////////////////////////////////////////
  474. ActivePatList8  =_Alex1,_Alex2,_Alex3,
  475. [CODE_Alex1]
  476. S = EB03EB03??EBFBE801000000??83C404
  477. R = 90909090909090909090909090909090
  478. [CODE_Alex2]
  479. S = EB05??F00FC7C8
  480. R = 90909090909090
  481. [CODE_Alex3]
  482. S = 85D275D661
  483. R = ????9090??
  484. [CODE_Alex4]
  485. S = 0F312BC3
  486. R = 9090????
  487. [CODE_Alex5]
  488. S = 0F318BD8
  489. R = 9090????
  490. [CODE_Alex6]
  491. S = 0F3103C3
  492. R = 9090????
  493. [CODE_Alex7]
  494. S = 0F31EB01C7
  495. R = 9090909090
  496. [CODE_Alex8]
  497. S = 0F31EB01C9
  498. R = 9090909090
  499. /////////////////////////////////////////
  500. /////////////////////////////////////////
  501. [CODE_ASPR_jmp01]
  502. S = 2EEB01??
  503. R = 90909090
  504. [CODE_ASPR_jmp02]
  505. S = 65EB01??
  506. R = 90909090
  507. [CODE_ASPR_jmp03]
  508. S = F2EB01??
  509. R = 90909090
  510. [CODE_ASPR_jmp04]
  511. S = F3EB01??
  512. R = 90909090
  513. [CODE_ASPR_jmp05]
  514. S = 26EB02????
  515. R = 9090909090
  516. [CODE_ASPR_jmp06]
  517. S = 3EEB02????
  518. R = 9090909090
  519. [CODE_ASPR_jmp07]
  520. S = F3EB02????
  521. R = 9090909090
  522. [CODE_ASPR_jmp08]
  523. S = EB01??
  524. R = 909090
  525. /////////////////////////////////////////
  526. /////////////////////////////////////////
  527. [CODE_alex_push01]
  528. S =60EB03EB03??EBFBE801000000??83C4040F318BD8EB03EB03??EBFBE801000000??83C4048BCAEB03EB03??EBFBE801000000??83C4040F312BC3EB03EB03??EBFBE801000000??83C4041BD10F3103C3EB03EB03??EBFBE801000000??83C40413D10F312BC3EB03EB03??EBFBE801000000??83C404EB05??????????EB03EB03??EBFBE801000000??83C4041BD1EB03EB03??EBFBE801000000??83C40485D275D661
  529. R =909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090
  530. [CODE_alex_call01]
  531. S =E824000000EB01E98B44240CEB03EB03C7EBFBE801000000A883C4048380B80000000233C0EB01E9C35883C404EB03EB03C7EBFBE801000000A883C4045064FF350000000064892500000000EB01??FFFF
  532. R =909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090
  533. /////////////////////////////////////////
  534. /////////////////////////////////////////
  535. [CODE_Pes1]
  536. ; jmp label1
  537. ;
  538. S =EB04??EB04??EBFB??
  539. R =909090909090909090
  540. [CODE_call0111]
  541. ; call label1
  542. ; db _junkcode
  543. S =E801000000??
  544. R =E80100000090
  545. [CODE_PESPIN1]
  546. S =E803000000EB04??EBFB??
  547. R =E803000000909090909090
  548. [CODE_Pespin_jne01]
  549. S =7501??
  550. R =909090
  551. [CODE_Pespin_JMP01]
  552. S =EB04??EB04??EBFB??
  553. R =909090909090909090
  554. [CODE_PesPin_jmp02]
  555. S = EB07??EB01??EB04??EBF8??
  556. R = 909090909090909090909090
  557. [CODE_PesPin_Call01]
  558. S = 60E803000000??EB0A58EB01??40EB01??FFE061
  559. R = 9090909090909090909090909090909090909090
  560. [CODE_PesPin_Call02]
  561. ; Call _label1
  562. ; db _junkcode
  563. ; db _junkcode
  564. ; db _junkcode
  565. ; db _junkcode
  566. ; db _junkcode
  567. ; db _junkcode
  568. ; ADD SS:[ESP],0C
  569. ; RETN
  570. S = E803000000????????????8304240CC3??
  571. R = 9090909090909090909090909090909090
  572. [CODE_PesPin_jmpEsp01]
  573. S = 5A588D642404FF6424FC??
  574. R = 5A588D642404FF6424FC90
  575. [CODE_PesPin_STC01]
  576. S = F97208????F983042417C3E804000000??F57311EB06??72ED??EB07F5720EF572F8??EBEC83042407F5FF3424C3
  577. R = 90909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090
  578. [CODE_PesPin_STC02]
  579. ; STC
  580. ; JB SHORT 00404F4D
  581. ; _Junkcode,_Junkcode
  582. ; ADD DWORD PTR SS:[ESP],17
  583. ; RETN
  584. ; CALL 00404F56
  585. ; _Junkcode
  586. ; CMC
  587. ; JNB SHORT 00404F67
  588. ; JMP SHORT 00404F5E
  589. ; _Junkcode
  590. ; JB SHORT 00404F48
  591. ; _Junkcode
  592. ; JMP SHORT 00404F65
  593. ; CMC
  594. ; JB SHORT 00404F6F
  595. ; CMC
  596. ; JB SHORT 00404F5C
  597. ; _Junkcode
  598. ; JMP SHORT 00404F53
  599. ; ADD DWORD PTR SS:[ESP],7
  600. ; CMC
  601. ; PUSH DWORD PTR SS:[ESP]
  602. ; RETN
  603. S = F97207????83042417C3E804000000??F57311EB06??72ED??EB07F5720EF572F8??EBEC83042407F5FF3424C3
  604. R = 909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090