dejunk.ini

OllyICE 1.1 反匯編工具 繁體中文版

; DeJunk v1.10 的特征文件。此文件附属于 DeJunk 程序，请不要删除！！！ 
; 简要说明:
;	[OPTION]下有4项描述项目: "PrePatName" / "ActivePatList"
;           
;       MENU                    显示在OLLYDBG右键菜单用的项目,必须有相应的 ActivePatList?,就是说有3项菜单的话,就应该有ActivePatList1,ActivePatList2,ActivePatList3,以些类推
;        
;       SCANSIZE                右键菜单中的快捷搜索大小(字节)
;
;	PrePatName		描述花指令特征模板(以后简称特征模板)名称的前缀,一般不需要改动.
;					
;	ActivePatList?	        描述花指令特征模板名称的后缀列表.
;					在列表中出现的名称后缀将分别和特征模板名称的前缀合并成一个完整的花指令特征模板名称
;					在列表中合并得到的特征模板名称,将被程序激活使用.
;
;	[模板名前缀+模板名后缀]下只有两项描述项目: "S" / "R"
;
;	S				描述花指令的特征字节串,对于可为任意值的字节可以使用 ?? 代替,最长为200字节,不要超过
;	R				描述是否需要进行替换的标志, ??为保留原来的字节, 其它为替换成相应字节.
;
; 使用时注意事项：
;	1)	使用 DeJunk 程序前可以通过设置 ActivePatList 来达到只搜索部分花指令特征的目的.
;		这对于特征文件中有太多的特征信息时非常有用.
;	2)	可以通过改变 PrePatName 达到屏蔽掉不希望使用的某些种类的花指令特征时非常有用.
;		比如你可以对不同程序中提取的花指令特征模板命名不同的前缀名称,这样你可以有效地管	理花指令特征信息.
;	3)	尽量把字节数多的特征信息放在 ActivePatList 后缀列表的前面,因为有些特征信息是包含或者重叠关系,
;		一旦字节数少的特征模板匹配成功,程序不会继续匹配其他特征模板.而一般字节数少的特征模板更容易被匹配,
;		并且也容易成为被其他特征模板包含.
;
;

[OPTION]
; 这是显示在OLLYDBG中的菜单项,以 | 分开,前面为序号与 ActivePatList? 对应

MENU		= 1 ObSiDiUm | 2 幻影花指令(DBPE) | 3 SVK V1.32 | 4 常用花指令 | 5 PELock 1.0 | 6 ACProtect(UltraProtect) | 8 Alex Protector | 9 AsProtect | 10 PEsPin |

;右键菜单中选择后进行搜索的大小(十进制)
SCANSIZE	= 1024

PrePatName	= "CODE"

;这个对应第1项菜单
ActivePatList1	= _jmp01,_jmp02,_jmp03,_jmp04,

;这个对应第2项菜单,以此类推
ActivePatList2	= _T1,_T2,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22

;这个对应第3项菜单,以此类推
ActivePatList3	= _jmp01,_jmp02,_jmp03,

ActivePatList4	= _T1,_T2,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22

ActivePatList5  = _jmp01,_jmp02,_jmp03,1,2,3,4,5,6,7,8,9,10,11,12,13,_call05,_call06,

ActivePatList6	= 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,_jmp01,_jmp11,_jmp12,_jmp13,_jmp15,_call00,_call01,_call04

ActivePatList7	= _T1,_T2,hying1,hying2,hying3,hying4,hying5,hying6,hying7,hying8,hying9,hying10,hying11,hying12,hying13

ActivePatList8  = _Alex1,_Alex2,_Alex3,_Alex4,_Alex5,_Alex6,_Alex7,_Alex8,

ActivePatList9  = _ASPR_jmp01,_ASPR_jmp02,_ASPR_jmp03,_ASPR_jmp04,_ASPR_jmp05,_ASPR_jmp06,_ASPR_jmp07,_jmp02,_ASPR_jmp08

ActivePatList10  = _Pes1,_jmp01,_jmp02,_call0111,_PESPIN1,_Pespin_jne01,_pESPIN_JMP01,_PesPin_Call02,_PesPin_jmp02,_PesPin_Call01,_PesPin_STC01,_call021,_PesPin_jmpEsp01,_PesPin_STC02

ActivePatList11  =_JDPack1,_JDPack2,_JDPack3,_JDPack4,_JDPack5,_JDPack6,_JDPack7,_JDPack8,_JDPack9,_JDPack10,_JDPack11,_JDPack12,_JDPack13,_JDPack14,_JDPack15,_JDPack16


;这个字串最长500字节,不要超过.

[CODE_T1]
;			pushf
;			push	0Ah
;loc_1:		jnb		loc_3
;			jmp		loc_2
;					_TWO_BYTE_JUNKCODE_
;loc_2:		call	loc_4
;					_TWO_BYTE_JUNKCODE_
;loc_3:		jnb		loc_2
;					_TWO_BYTE_JUNKCODE_
;loc_4:		add		esp,4
;			jmp		loc_5
;					_TWO_BYTE_JUNKCODE_
;loc_5:		dec		dword ptr [esp]
;			jno		loc_6
;					_ONE_BYTE_JUNKCODE_
;loc_6:		jns		loc_1
;			jp		loc_7
;					_ONE_BYTE_JUNKCODE_
;loc_7:		add		esp,4
;			popf
;			jmp		loc_8
;					_ONE_BYTE_JUNKCODE_
;loc_8:		......

S = 9C6A??730BEB02????E806000000????73F7????83C404EB02????FF0C247101??79E07A01??83C4049DEB01??
R = 909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090

[CODE_T2]
;			pushf
;			jb		loc_3
;loc_1:		jmp		loc_2
;					_ONE_BYTE_JUNKCODE_
;loc_2:		call	loc_4
;					_TWO_BYTE_JUNKCODE_
;loc_3:		jb		loc_1		
;					_ONE_BYTE_JUNKCODE_
;loc_4:		add		esp,4
;			popf
;			jmp		loc_5
;					_ONE_BYTE_JUNKCODE_
;loc_5:		....

S = 9C720AEB01??E805000000????72F4??83C4049DEB01??
R = 9090909090909090909090909090909090909090909090

[CODE1]
;		jo	label
;		jno	label
;		db	_junkcode
;label:	....
;		....

S = 70037101??
R = 9090909090

[CODE2]
;		jb	label
;		jnb	label
;		db	_junkcode
;label:	....
;		....

S = 72037301??
R = 9090909090

[CODE3]
;		je	label
;		jne	label
;		db	_junkcode
;label:	....
;		....

S = 74037501??
R = 9090909090

[CODE4]
;		jbe	label
;		ja	label
;		db	_junkcode
;label:	....
;		....

S = 76037701??
R = 9090909090

[CODE5]
;		js	label
;		jns	label
;		db	_junkcode
;label:	....
;		....

S = 78037901??
R = 9090909090

[CODE6]
;		jpe	label
;		jpo	label
;		db	_junkcode
;label:	....
;		....

S = 7A037B01??
R = 9090909090

[CODE7]
;		jl	label
;		jge	label
;		db	_junkcode
;label:	....
;		....

S = 7C037D01??
R = 9090909090

[CODE8]
;		jle	label
;		jg	label
;		db	_junkcode
;label:	....
;		....

S = 7E037F01??
R = 9090909090

/////////////////////////////////////////
//以下几种是 CODE1 - CODE8 的倒装形式
/////////////////////////////////////////

[CODE9]
;		jno	label
;		jo	label
;		db	_junkcode
;label:	....
;		....

S = 71037001??
R = 9090909090


[CODE10]
;		jnb	label
;		jb	label
;		db	_junkcode
;label:	....
;		....

S = 73037201??
R = 9090909090

[CODE11]
;		jne	label
;		je	label
;		db	_junkcode
;label:	....
;		....

S = 75037401??
R = 9090909090

[CODE12]
;		ja	label
;		jbe	label
;		db	_junkcode
;label:	....
;		....

S = 77037601??
R = 9090909090

[CODE13]
;		jns	label
;		js	label
;		db	_junkcode
;label:	....
;		....

S = 79037801??
R = 9090909090

[CODE14]
;		jpo	label
;		jpe	label
;		db	_junkcode
;label:	....
;		....

S = 7B037A01??
R = 9090909090

[CODE15]
;		jge	label
;		jl	label
;		db	_junkcode
;label:	....
;		....

S = 7D037C01??
R = 9090909090

[CODE16]
;		jle	label
;		jg	label
;		db	_junkcode
;label:	....
;		....

S = 7F037E01??
R = 9090909090

/////////////////////////////////////////
/////////////////////////////////////////

[CODE17]
;			call	label_1
;			db		_junkcode,_junkcode
;			jmp		label_4
;label_1:	pop		eax
;			jmp		label_2
;			db		_junkcode,_junkcode
;label_2:	add		eax,2
;			jmp		label_3
;			db		_junkcode
;label_3:	push	eax
;			ret
;			db		_junkcode
;label_4:	....
;			....

S = E804000000????EB0E58EB02????83C002EB01??50C3??
R = 9090909090909090909090909090909090909090909090

[CODE18]
;		push	ecx
;		xor		ecx,ecx
;		jcxz	label
;		db		_junkcode
;label:	pop		ecx
;		....
;		....

S = 5131C9E301??59
R = 90909090909090

[CODE19]
;			jl	label_1
;label_2:	jmp	label_3
;			db	_junkcode
;label_1:	jz	label_2
;label_3:	....
;			....

S = 7C03EB03??74FB
R = 90909090909090

[CODE20]
;			call	label_1
;			db		_junkcode,_junkcode,_junkcode
;label_1:	add		esp,4
;			jmp		label_2
;			db		_junkcode,_junkcode,_junkcode
;label_2:	jmp		label_3
;			db		_junkcode,_junkcode
;label_3:	....
;			....

S = E803??????83C404EB03??????EB02????
R = 9090909090909090909090909090909090

[CODE21]
;			call	label_1
;			db		_junkcode
;			jmp		label_4
;			db		_junkcode
;label_1:	pop		edi
;			jmp		label_2
;			db		_junkcode
;label_2:	inc		edi
;			jmp		label_3
;			db		_junkcode
;label_3:	jmp		edi
;			db		_junkcode
;label_4:	....

S = E804000000??EB0C??5FEB01??47EB01??FFE7??
R = 9090909090909090909090909090909090909090

[CODE22]
;			call	label_1
;			db		_junkcode,_junkcode
;			jmp		label_4
;label_1:	pop		ecx
;			jmp		label_2
;			db		_junkcode,_junkcode
;label_2:	add		ecx,2
;			jmp		label_3
;			db		_junkcode
;label_3:	push	ecx
;			ret
;			db		_junkcode
;label_4:	....
;			....

S = E804000000????EB0E59EB02????83C102EB01??51C3??
R = 9090909090909090909090909090909090909090909090

[CODE_jnz01]
S = 7501??
R = 909090

[CODE_jmp01]

S = EB01??
R = 909090

[CODE_jmp02]

S = EB02????
R = 90909090

[CODE_jmp03]

S = EB03??????
R = 9090909090

[CODE_jmp04]

S = EB04????????