软件名称: WorkLog 工作日志管理
软件版本: 3.05
适用平台: Win9x, WinME, WinNT, Win2000, WinXP
软件作者: 李柏松
联系邮箱: swordlea@antiy.net
作者主页: http://www.numentec.com/Product/WorkLog/Index.htm
先用PEID看了一下,结果显示是什么都没有找到!!!不管它,用OD加载后运行到这里
00482BD6 W> 33C0 xor eax,eax
00482BD8 ^ E9 23E4FFFF jmp WorkLog.00481000
F8先跟到这里
00481000 FC cld
00481001 60 pushad
00481002 E8 02000000 call WorkLog.00481009//F8跟到这里,查看ESP是0012FFA4,呵呵,想到了ESP定律,试试在说
00481007 E8 00E80000 call 0048F80C
0048100C 0000 add byte ptr ds:[eax],al
0048100E 5E pop esi
下了硬件访问断点之后,F9运行,中断在这里
0048109F 90 nop
004810A0 C1C0 07 rol eax,7
004810A3 90 nop
004810A4 90 nop
004810A5 33DB xor ebx,ebx
跟了几步后,程序就自己退出了。。。。
CTRL+F2重新在来,换内存中断法
打开内存镜像,先对CODE段F2下断点
内存镜像,项目 17
地址=00401000
大小=0003E000 (253952.)
Owner=WorkLog 00400000
区段=.text
包含=code
类型=Imag 01001002
访问=R
初始访问=RWE
运行
00482BD6 W> 33C0 xor eax,eax
00482BD8 ^ E9 23E4FFFF jmp WorkLog.00481000
提示:非法指令异常,不管它,SHIFT+F9继续运行
00481D09 AC lods byte ptr ds:[esi]//中断在这里,提示:读取时中断[00401000]
00481D0A 04 95 add al,95
00481D0C F6D8 neg al
00481D0E 02C2 add al,dl
在次打开内存镜像,对DATA段F2下断点,运行
内存镜像,项目 19
地址=0044B000
大小=0000C000 (49152.)
Owner=WorkLog 00400000
区段=.data
包含=data
类型=Imag 01001002
访问=R
初始访问=RWE
00481D09 AC lods byte ptr ds:[esi]//中断到这里,提示:读取时中断[0044B000]
00481D0A 04 95 add al,95
00481D0C F6D8 neg al
00481D0E 02C2 add al,dl
00481D10 04 77 add al,77
code段应该已经解压完毕,在打开内存镜像,先对CODE段F2下断点
内存镜像,项目 17
地址=00401000
大小=0003E000 (253952.)
Owner=WorkLog 00400000
区段=.text
包含=code
类型=Imag 01001002
访问=R
初始访问=RWE
运行后提示非法指令异常,不管它,SHIFT+F9过
00439DAF 55 push ebp//到这里,呵呵
00439DB0 8BEC mov ebp,esp
00439DB2 6A FF push -1
00439DB4 68 B0454400 push WorkLog.004445B0
00439DB9 68 149F4300 push WorkLog.00439F14 ; jmp to MSVCRT._except_handler3
00439DBE 64:A1 00000000 mov eax,dword ptr fs:[0]
00439DC4 50 push eax
00439DC5 64:8925 00000000 mov dword ptr fs:[0],esp
00439DCC 83EC 68 sub esp,68
00439DCF 53 push ebx
00439DD0 56 push esi
00439DD1 57 push edi
00439DD2 8965 E8 mov dword ptr ss:[ebp-18],esp
用OD脱壳后,发现是VC++编写,菜鸟脱壳,欢迎高手指教!!!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课