|
[求助]请高手帮忙,PECompact 2.x脱壳后,无法运行?
谢谢孟贤老师的提醒,,,终于搞明白了。 关键在7C800上,,,,如法炮制,找到了第三处,只是OD运行不了罢了。估计第三处,在程序运行到某处,还会效验。这个留着以后看看再说。 现在看来,也就几分钟的事情,由于思路不对,搞了很多天,也熬了好几个晚上,,,,连做梦都是跳转,,,,哈哈哈,,,,这次学到了很多,,谢谢 下面试试爆破,,,这也是第一次实习。 |
|
[求助]请高手帮忙,PECompact 2.x脱壳后,无法运行?
试了很多次,都不行,,,,这样试下去肯定不行,,,, 00507B45 |. E8 8E4CF6FF CALL V9-T__BA.0046C7D8 //进入这个CALL ======================================================== 0046C805 . 8BC3 MOV EAX,EBX 0046C807 . 8B38 MOV EDI,DWORD PTR DS:[EAX] 0046C809 . FF57 2C CALL DWORD PTR DS:[EDI+2C] //下面的比较跳转数据在这个CALL里面????里面的比较跳转很多,试了很久都不行,,晕了 0046C80C . 33C0 XOR EAX,EAX 0046C80E . 5A POP EDX 0046C80F . 59 POP ECX 0046C810 . 59 POP ECX 0046C811 . 64:8910 MOV DWORD PTR FS:[EAX],EDX 0046C814 . EB 16 JMP SHORT V9-T__BA.0046C82C 0046C816 .^ E9 657AF9FF JMP V9-T__BA.00404280 0046C81B . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 0046C81E . 33D2 XOR EDX,EDX 0046C820 . 8910 MOV DWORD PTR DS:[EAX],EDX 0046C822 . E8 317EF9FF CALL V9-T__BA.00404658 0046C827 . E8 807EF9FF CALL V9-T__BA.004046AC 0046C82C > 837E 44 00 CMP DWORD PTR DS:[ESI+44],0 0046C830 . 75 1D JNZ SHORT V9-T__BA.0046C84F 我想,去除自效验,还是从源头找起,,,自效验有,(1)软件大小比较(2)CRC或MD5比较(3)调用文件处理函数,进程函数,,,等等 这个程序第一处自效验,就是程序大小比较。第二处又是比较什么呢?猜不出来,还请高手指点迷津,,,也请孟贤老师给个提示,,,,我这里是瞎子摸象,越试越乱 |
|
|
|
[求助]请高手帮忙,PECompact 2.x脱壳后,无法运行?
非常感谢楼上的两位高手。 按照提示,第一处跳转改掉,第二处跳转也按照说明改了,运行程序跳出图片后,一闪就没了。 第二处改动如下: ========================================================== 第二处就是入口点向下找,找到retn,倒数第三个call里面 00507B3F |. 8B15 C8EE4F00 MOV EDX,DWORD PTR DS:[4FEEC8] ; dumped_.004FEF14 00507B45 |. E8 8E4CF6FF CALL dumped_.0046C7D8 // 这个CALL进入 00507B4A |. A1 50115100 MOV EAX,DWORD PTR DS:[511150] 00507B4F |. 8B00 MOV EAX,DWORD PTR DS:[EAX] 00507B51 |. E8 024DF6FF CALL dumped_.0046C858 00507B56 |> 33C0 XOR EAX,EAX 00507B58 |. 5A POP EDX 00507B59 |. 59 POP ECX 00507B5A |. 59 POP ECX 00507B5B |. 64:8910 MOV DWORD PTR FS:[EAX],EDX 00507B5E |. 68 737B5000 PUSH dumped_.00507B73 00507B63 |> 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 00507B66 |. E8 35D1EFFF CALL dumped_.00404CA0 00507B6B \. C3 RETN //从这里向上找CALL 00507B6C .^ E9 C3C9EFFF JMP dumped_.00404534 00507B71 .^ EB F0 JMP SHORT dumped_.00507B63 =====================CALL进0046C7D8======================================= 0046C7D8 $ 55 PUSH EBP 0046C7D9 . 8BEC MOV EBP,ESP 0046C7DB . 51 PUSH ECX 0046C7DC . 53 PUSH EBX 0046C7DD . 56 PUSH ESI 0046C7DE . 57 PUSH EDI 0046C7DF . 894D FC MOV DWORD PTR SS:[EBP-4],ECX 0046C7E2 . 8BDA MOV EBX,EDX 0046C7E4 . 8BF0 MOV ESI,EAX 0046C7E6 . 8BC3 MOV EAX,EBX 0046C7E8 . FF50 F4 CALL DWORD PTR DS:[EAX-C] 0046C7EB . 8BD8 MOV EBX,EAX 0046C7ED . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 0046C7F0 . 8918 MOV DWORD PTR DS:[EAX],EBX 0046C7F2 . 33C0 XOR EAX,EAX 0046C7F4 . 55 PUSH EBP 0046C7F5 . 68 16C84600 PUSH dumped__.0046C816 0046C7FA . 64:FF30 PUSH DWORD PTR FS:[EAX] 0046C7FD . 64:8920 MOV DWORD PTR FS:[EAX],ESP 0046C800 . 8BCE MOV ECX,ESI 0046C802 . 83CA FF OR EDX,FFFFFFFF 0046C805 . 8BC3 MOV EAX,EBX 0046C807 . 8B38 MOV EDI,DWORD PTR DS:[EAX] 0046C809 . FF57 2C CALL DWORD PTR DS:[EDI+2C] 0046C80C . 33C0 XOR EAX,EAX 0046C80E . 5A POP EDX 0046C80F . 59 POP ECX 0046C810 . 59 POP ECX 0046C811 . 64:8910 MOV DWORD PTR FS:[EAX],EDX 0046C814 . EB 16 JMP SHORT dumped__.0046C82C 0046C816 .^ E9 657AF9FF JMP dumped__.00404280 0046C81B . 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 0046C81E . 33D2 XOR EDX,EDX 0046C820 . 8910 MOV DWORD PTR DS:[EAX],EDX 0046C822 . E8 317EF9FF CALL dumped__.00404658 0046C827 . E8 807EF9FF CALL dumped__.004046AC 0046C82C > 837E 44 00 CMP DWORD PTR DS:[ESI+44],0 0046C830 . 75 1D JNZ SHORT dumped__.0046C84F //这里的比较跳转nop掉 0046C832 . 8BC3 MOV EAX,EBX 0046C834 . 8B15 6C224600 MOV EDX,DWORD PTR DS:[46226C] ; dumped__.004622B8 0046C83A . E8 2577F9FF CALL dumped__.00403F64 0046C83F . 84C0 TEST AL,AL 0046C841 . 74 0C JE SHORT dumped__.0046C84F 0046C843 . 8BFB MOV EDI,EBX 0046C845 . 8BC7 MOV EAX,EDI 0046C847 . E8 D45EFEFF CALL dumped__.00452720 0046C84C . 897E 44 MOV DWORD PTR DS:[ESI+44],EDI 0046C84F > 5F POP EDI 0046C850 . 5E POP ESI 0046C851 . 5B POP EBX 0046C852 . 59 POP ECX 0046C853 . 5D POP EBP 0046C854 . C3 RETN ========================================================= 这样改,对否???用源程序和脱壳的双开OD比较,也没发现什么。。。。晕了 还望给予指点。 |
|
[求助]请高手帮忙,PECompact 2.x脱壳后,无法运行?
谢谢2楼高人的指点。 按2楼高人的指点,BP了2个文件处理函数,,,,可是向上没找到跳点,还是不会修改。。。。 BP这两个函数,我是不知道的,,,我的API部分太贫乏。。。BP ExitProcess,我是参考网上的“常用自效验分析实例”文章,那文章写的步骤详细,只是程序不同,按那个步骤也是不行。 初学脱壳,随便找了个程序,没想到还有自效验,自学之路艰难呀。 能不能详细解释下解除自效验的方法,在这个程序里,2个文件处理函数上怎样处理?或者发上来修改好的,我比较找找看看,,,。 |
|
请推荐本反汇编代码分析的书!
我也正在学习,属初学,,,也是看了些逆向的视频,视频中讲到看雪论坛,才来的,,,,,,,那些视频有传说的,独立团的,,,可以到网上搜搜 |
|
[讨论]关于论坛积分
我也是新来的,正在攒积分,,,,,刚在论坛小测试里,搞到30,,,,路还很长,慢慢来吧 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值