|
|
|
|
|
[分享]Themida脱壳(VC++ 7.0之Stolen Code还原的一种思路)
正在脱0.5版本的,就差这个了,想问LZ 0.5版本的有没有代码变形技术?? 还有虚拟代码? 我看了看好像俩个都有~ 再次感谢 |
|
|
|
[求助]都是脱壳,怎么效果不一样?
网站有时上不去! |
|
[求助]都是脱壳,怎么效果不一样?
谢谢坛主 |
|
|
|
[原创] 无,祝福大家身体健康,万事如意
和楼上的问题一样,不知道怎样找到那个 按钮事件地址的 我也跟踪了一边,能大致看懂了,不过好像有些出入, lea ebx, dword ptr [edi+34] // mov edx, dword ptr [ebx] //注册码放到DX中、取注册码的奇数位 做运算用 call dword ptr [<&MSVBVM60.__vbaStrCmp>] //注册码是零吗? test eax, eax jnz short 00908927 //不是零的话就跳 call dword ptr [<&MSVBVM60.__vbaLenBstr>] // cmp eax, 0A //比较注册码是十位吗? je 009089F6 //是十位的话就跳,否则就退出 由此我们可知 001509d4 //<-----------------这里不一样!! --------------------------------------------------- 001509D4 00350037 //内存中找的 001509D8 00380037 001509DC 00320031 001509E0 00300032 001509E4 00320031 001509E8 00340033 ASCII 02,"鯈" 001509EC 00360035 001509F0 00000037 对应的十进值 37 35 37 38 31 32 32 30 31 32 33 34 35 36 37 7 5 7 8 1 2 2 0 1 2 3 4 5 6 7 =================================================== 005590EC . 53 push ebx //中断在此 005590ED . 56 push esi 005590EE . 57 push edi 005590EF . 8965 F4 mov dword ptr [ebp-C], esp 005590F2 . C745 F8 88184>mov dword ptr [ebp-8], 00401888 005590F9 . 8B55 08 mov edx, dword ptr [ebp+8] 005590FC . 33C0 xor eax, eax 005590FE . 8D4D A8 lea ecx, dword ptr [ebp-58] 00559101 . 8945 E4 mov dword ptr [ebp-1C], eax 00559104 . 8945 E0 mov dword ptr [ebp-20], eax 00559107 . 8945 DC mov dword ptr [ebp-24], eax 0055910A . 8945 D8 mov dword ptr [ebp-28], eax 0055910D . 8945 C8 mov dword ptr [ebp-38], eax 00559110 . 8945 B8 mov dword ptr [ebp-48], eax 00559113 . 8945 A8 mov dword ptr [ebp-58], eax 00559116 . FF15 1C104000 call dword ptr [<&MSVBVM60.__vbaVarVa>; MSVBVM60.__vbaVarVargNofree 001509D4 0058004F SxCpFxxt.0058004F 001509D8 00340031 001509DC 004D0057 SxCpFxxt.004D0057 001509E0 00530038 SxCpFxxt.00530038 001509E4 00530038 SxCpFxxt.00530038 001509E8 004D0057 SxCpFxxt.004D0057 001509EC 00340031 001509F0 0058004F SxCpFxxt.0058004F 001509F4 00000000 mov edx, dword ptr [ebp-20] //模仿 lea ecx, dword ptr [ebp-24] //00150814 75781220 call dword ptr [<&MSVBVM60.__vbaLenBstr>] ; MSVBVM60.__vbaLenBstr cmp eax, 0F //获得上面的字符的长度 ============================================================ 75781220 12345678 1234567 ============================================================ 机器码 00150944 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 00150954 20 00 20 00 20 00 20 00 20 00 20 00 4B 00 4E 00 KN 只能利用楼主的断点~~~ |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值