|
[求助]ollydbg 110的奇怪现像?
还有这么奇怪的事情?想不出来有什么原因 |
|
[求助]ESP定律脱壳.PE重建依然无法运行,请高人指点
这个不是脱壳的问题,是程序里面加了自校验。这个是UPX的一个壳,可以直接用upx -d直接脱掉。 这个自校验可以去掉。我用OD设置断点bp MessageBoxA。然后看调用堆栈的最高层,找到下面的一段代码。注意下面红色的代码: 004017BD FFD0 CALL EAX 把它NOP掉就可以了。你可以试试。 .... 00401749 . 51 PUSH ECX ; |hWnd 0040174A . FFD6 CALL ESI ; \SendMessageA 0040174C . A1 B4834000 MOV EAX,DWORD PTR DS:[4083B4] 00401751 . 8B15 B0834000 MOV EDX,DWORD PTR DS:[4083B0] 00401757 . 8B0D B8834000 MOV ECX,DWORD PTR DS:[4083B8] 0040175D . 8945 B0 MOV DWORD PTR SS:[EBP-50],EAX 00401760 . 8955 AC MOV DWORD PTR SS:[EBP-54],EDX 00401763 . 8A15 BC834000 MOV DL,BYTE PTR DS:[4083BC] 00401769 . 8D45 AC LEA EAX,DWORD PTR SS:[EBP-54] 0040176C . 894D B4 MOV DWORD PTR SS:[EBP-4C],ECX 0040176F . 50 PUSH EAX ; /FileName 00401770 . 8855 B8 MOV BYTE PTR SS:[EBP-48],DL ; | 00401773 . FF15 10604000 CALL DWORD PTR DS:[<&KERNEL32.LoadLibrar>; \LoadLibraryA 00401779 . 66:8B0D AC834>MOV CX,WORD PTR DS:[4083AC] 00401780 . 8A15 AE834000 MOV DL,BYTE PTR DS:[4083AE] 00401786 . 8B35 70604000 MOV ESI,DWORD PTR DS:[<&KERNEL32.GetProc>; kernel32.GetProcAddress 0040178C . 66:894D D0 MOV WORD PTR SS:[EBP-30],CX 00401790 . 66:8B0D A8834>MOV CX,WORD PTR DS:[4083A8] 00401797 . 8855 D2 MOV BYTE PTR SS:[EBP-2E],DL 0040179A . 8A15 AA834000 MOV DL,BYTE PTR DS:[4083AA] 004017A0 . 66:894D D8 MOV WORD PTR SS:[EBP-28],CX 004017A4 . 8D4D D0 LEA ECX,DWORD PTR SS:[EBP-30] 004017A7 . A3 DC864000 MOV DWORD PTR DS:[4086DC],EAX 004017AC . 51 PUSH ECX ; /ProcNameOrOrdinal 004017AD . 50 PUSH EAX ; |hModule 004017AE . 8855 DA MOV BYTE PTR SS:[EBP-26],DL ; | 004017B1 . FFD6 CALL ESI ; \GetProcAddress 004017B3 . 68 38564C05 PUSH 54C5638 004017B8 . A3 B8864000 MOV DWORD PTR DS:[4086B8],EAX [B][COLOR="Red"]004017BD FFD0 CALL EAX[/COLOR][/B] 004017BF . A1 DC864000 MOV EAX,DWORD PTR DS:[4086DC] 004017C4 . 83C4 04 ADD ESP,4 004017C7 . 8D55 D8 LEA EDX,DWORD PTR SS:[EBP-28] 004017CA . 52 PUSH EDX 004017CB . 50 PUSH EAX 004017CC . FFD6 CALL ESI 004017CE . 8B0D 9C834000 MOV ECX,DWORD PTR DS:[40839C] 004017D4 . 8B15 A0834000 MOV EDX,DWORD PTR DS:[4083A0] 004017DA . A3 B4864000 MOV DWORD PTR DS:[4086B4],EAX 004017DF . A0 A4834000 MOV AL,BYTE PTR DS:[4083A4] 004017E4 . 6A 20 PUSH 20 004017E6 . 894D C0 MOV DWORD PTR SS:[EBP-40],ECX 004017E9 . 8955 C4 MOV DWORD PTR SS:[EBP-3C],EDX 004017EC . 8845 C8 MOV BYTE PTR SS:[EBP-38],AL 004017EF . E8 70320000 CALL <JMP.&MFC42.#823_??2@YAPAXI@Z> 004017F4 . 8D4D C0 LEA ECX,DWORD PTR SS:[EBP-40] ... |
|
[转帖]微软官方宣布Windows 7发售日期 RTM提前
Vista是个不成熟的作品,受市场要求提前推出的。到了Win7才算是优化了一下,呵呵 |
|
[求助]谁有多的“中国openssl专业论坛”的帐号,给小弟一个吧
这个网站现在开放注册啊,怎么会注册不成功呢? |
|
|
|
|
|
[邀请已发,结帖] 短信猫二次开发包的破解
你提到了,我也才注意到这个地方,所以查了查帮助: 调用栈窗口包含5个栏目:地址[Address]、栈[Stack]、过程[Procedure],调用来自[Called from],框架[Frame]。 |
|
[求助]初学反汇编第2问
夸奖了 我没有什么纸质书看,一般都是在网上搜到教程看看。最近看汇编,感觉“蓝麒麟的窝”里面有一份汇编的教程不错,讲得透彻,简单,可以在百度里面搜搜,一共20多讲。都是些基础的东西,很有用。 这个网址:http://www.520crack.com/ |
|
[求助]初学反汇编第2问
1. 用户名的长度:字符串长度在有些语言里面是这么保存的,在正式数据之前存放着长度。好像VC/DELPHI都是这么实现的。这个只能靠经验来了。 2.右移两位相当于除以4,如果长度小于4,右移的结果将为0。那么下面的JE跳转就起作用了。(JE判断ZF标志,ZF标志的意思就是结果为0)。 |
|
[邀请已发,结帖] 短信猫二次开发包的破解
1. Alt+K能够打开调用堆栈窗口。因为断点设置在GetWindowText上,所以断点肯定不是断在应用程序中的领空,而是系统DLL的领空。就像这里,实际上断在了user32.dll中。通过调用堆栈,我们可以直接找到谁调用了它。这些调用者的代码时我们更加要关心的内容。 2. 在OD中,在寄存器窗口中,如果寄存器中的内容是一个内存地址,而地址指向一个字符串的话,那么内存中字符串的内容也会显示在寄存器后面。你可以自己跟踪一下试试就知道效果了。在这个程序里面:EAX指向正确的序列号,ECX指向我们输入的假序列号。 3.知道这个函数是干什么用的,主要是通过多次单步调试跟踪的出来的结论。你可以注意到:我们能够看到的提示信息的内容(invalid license..)就在这个调用之后,而且调用之后紧接着就有一个判断/跳转指令,因此首先就怀疑到这个函数上。而实际上跟踪进去一看也证实了这个思路。当然了“对Modem进行初始化,初始化过程中对授权号进行检查“这句话是我加上去的,不是原来程序里面就带有的 我也是刚开始学习这个,这只是我的一点心得,希望对你有帮助。我们共同进步! |
|
|
|
[求助][求助]有经验的来看看 实在不解
哈哈,二楼的比喻太生动了 |
|
[求助]关于一段字符串累加的代码,请大家帮忙!!
MOVZX指令的含义如下: MOVZX - Move with Zero Extend (386+) Usage: MOVZX dest,src Modifies flags: None Copies the value of the source operand to the destination register with the zeroes extended. 对于: :004513D8 0FB64C11FF movzx ecx, byte ptr [ecx+edx-01] 应该是把ecx+edx-01地址的一个字节的内容放到ECX(CL)中,高位补0。 ECX是用户名存放内存的基地址,EDX是一个循环变量,表示已经处理的字符数。 |
|
[推荐]零基础-新手学破解必看的50个教程(个人推荐)
以前下载过了,但是还没来得及看呢,呵呵 |
|
[求助]反汇编语言详细注释
貌似这个只能靠学习汇编来解决吧。我也正碰到同样的问题 |
|
[求助]怎么获得邀请码呀!
现在就等着学习到一定程度,准备发一些原创的文章,呵呵 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值