这个程序是由另外一个文件加载验证启动的,他的参数和启动信息都有第一个文件给予,单独启动这个文件会“提示不是有效的WIN32程序”,不知道这种是不是最新的加密趋势,因为你无法单独对这个文件进行调试和脱壳。。。所以破解基本没有可能。。。不知道是否是这种情况,谢谢!
这是软件正式启动时候的OD代码,启动的时候是用C:\Program Files\Goal\Goail.exe -sd823sdklf3xd 启动的,但你用OD加载参数调试他确是不行的。。。
请教是否有好的脱壳或调试这个主文件的方法!
0046F665 /74 17 je short 0046F67E ;
0046F667 |8B45 FC mov eax, dword ptr [ebp-4]
0046F66A |8B80 14030000 mov eax, dword ptr [eax+314]
0046F670 |66:BE EBFF mov si, 0FFEB
0046F674 |E8 3B3EF9FF call 004034B4
0046F679 |E9 B1000000 jmp 0046F72F
0046F67E \8B45 FC mov eax, dword ptr [ebp-4]
0046F681 8B80 34030000 mov eax, dword ptr [eax+334]
0046F687 8B10 mov edx, dword ptr [eax]
0046F689 FF92 CC000000 call dword ptr [edx+CC]
0046F68F 85C0 test eax, eax
0046F691 75 0F jnz short 0046F6A2
0046F693 B8 983E4700 mov eax, 00473E98
0046F698 BA F8F74600 mov edx, 0046F7F8 ; ASCII "-sd823sdklf3xd"
0046F69D E8 3E4AF9FF call 004040E0
0046F6A2 8B45 FC mov eax, dword ptr [ebp-4]
0046F6A5 8B80 34030000 mov eax, dword ptr [eax+334]
0046F6AB 8B10 mov edx, dword ptr [eax]
0046F6AD FF92 CC000000 call dword ptr [edx+CC]
0046F6B3 48 dec eax
0046F6B4 75 0F jnz short 0046F6C5 ; y
0046F6B6 B8 983E4700 mov eax, 00473E98
0046F6BB BA 10F84600 mov edx, 0046F810 ; ASCII "-f890sdfj37s3f"
0046F6C0 E8 1B4AF9FF call 004040E0
0046F6C5 6A 01 push 1
0046F6C7 FF35 943E4700 push dword ptr [473E94]
0046F6CD 68 28F84600 push 0046F828 ; ASCII "Goail.exe " 主文件名
0046F6D2 FF35 983E4700 push dword ptr [473E98]
0046F6D8 8D85 64FFFFFF lea eax, dword ptr [ebp-9C]
0046F6DE BA 03000000 mov edx, 3
0046F6E3 E8 244DF9FF call 0040440C
0046F6E8 8B85 64FFFFFF mov eax, dword ptr [ebp-9C]
0046F6EE E8 594EF9FF call 0040454C
0046F6F3 50 push eax
0046F6F4 E8 D76EF9FF call <jmp.&kernel32.WinExec> 打开主文件
0046F6F9 6A 00 push 0
0046F6FB A1 843E4700 mov eax, dword ptr [473E84]
0046F700 E8 B778FDFF call 00446FBC
0046F705 50 push eax
0046F706 E8 ED75F9FF call <jmp.&user32.ShowWindow>
0046F70B 68 E8030000 push 3E8
0046F710 E8 77DBF9FF call <jmp.&kernel32.Sleep>
0046F715 6A 00 push 0
0046F717 E8 7C6CF9FF call <jmp.&kernel32.ExitProcess> 关闭启动文件
0046F71C EB 11 jmp short 0046F72F
0046F71E B8 40F84600 mov eax, 0046F840
0046F723 E8 5CCDFBFF call 0042C484
0046F728 6A 00 push 0
0046F72A E8 696CF9FF call <jmp.&kernel32.ExitProcess>
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!