23
2019
02

shc脚本解密详解,可解密流控脚本

1.下载一个加密过的脚本测试,不要执行

2.分析正版脚本之后发现他只用了shc加密,我们可以用unshc脚本一键解密,也可以用内存中获取解密之后的数据(Core Dump)

unshc脚本下载地址:https://github.com/yanncam/UnSHc

什么是Core dump
Core dump翻译过来就是核心转储,当程序运行过程中发生异常, 程序异常退出时, 由操作系统把程序当前的内存状况存储在一个core文件中, 叫core dump。core dump在应用crash掉之后对问题的诊断是很有帮助的。多数情况下Core dump默认是关闭状态的。



方法一:直接执行命令行开启:

1

ulimit -c 70000

通过上面的命令就开启了core dump,同时限制文件大小为7000k,也就是限制单个文件大小为7M左右,一般的脚本没那么大的。

方法二:配置profile文件,打开/etc/profile文件,在里面可以找到

Shell



ulimit –S –c 0 > /dev/null 2>&1

将它修改成下面这样就可以了。

Shell



ulimit –S –c unlimited > /dev/null 2>&1

当然,对于像我们这样的菜鸟来讲,还是方法一比较实际。

开启了Core Dump,我们就可以进行猥琐的解密工作了。

首先设置下执行脚本并中断,假如你需要解密的二进制脚本文件名为abc

1

./abc & ( sleep 0.02 && kill -SIGSEGV $! )

执行后该目录会出现一个新文件core_xxxx(xxxx为随机的uid号)

然后把这个文件传到电脑里面(便于新手操作)用文本编辑器打开,编码为utf-8

然后就会发现有一大段乱码的文件,然后删除之后就是完整的脚本了

脚本破解

脚本解密之后我们就能直接对脚本进行编辑,此时的破解应该是很简单的,我就直接把他的判断搞成恒等式,然后就行了,要更高级的破解方式还请另行百度

本站声明:网站内容来源于网络,如有侵权,请联系我们https://www.qiquanji.com,我们将及时处理。

gzh

微信扫码关注

更新实时通知

« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。