一个很有新意软件的启动验证，应该是新的加密趋势-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 一个很有新意软件的启动验证，应该是新的加密趋势 0.00雪花

发表于: 2010-3-19 10:17 6206

[旧帖] 一个很有新意软件的启动验证，应该是新的加密趋势 0.00雪花

晕晕的我

2010-3-19 10:17

6206

这个程序是由另外一个文件加载验证启动的，他的参数和启动信息都有第一个文件给予，单独启动这个文件会“提示不是有效的WIN32程序”，不知道这种是不是最新的加密趋势，因为你无法单独对这个文件进行调试和脱壳。。。所以破解基本没有可能。。。不知道是否是这种情况，谢谢！

这是软件正式启动时候的OD代码，启动的时候是用C:\Program Files\Goal\Goail.exe -sd823sdklf3xd 启动的，但你用OD加载参数调试他确是不行的。。。
请教是否有好的脱壳或调试这个主文件的方法！

0046F665 /74 17             je    short 0046F67E                         ;
0046F667 |8B45 FC          mov    eax, dword ptr [ebp-4]
0046F66A |8B80 14030000    mov    eax, dword ptr [eax+314]
0046F670 |66:BE EBFF       mov    si, 0FFEB
0046F674 |E8 3B3EF9FF       call 004034B4
0046F679 |E9 B1000000       jmp    0046F72F
0046F67E \8B45 FC          mov    eax, dword ptr [ebp-4]
0046F681    8B80 34030000    mov    eax, dword ptr [eax+334]
0046F687    8B10             mov    edx, dword ptr [eax]
0046F689    FF92 CC000000    call dword ptr [edx+CC]
0046F68F    85C0             test eax, eax
0046F691    75 0F             jnz    short 0046F6A2
0046F693    B8 983E4700       mov    eax, 00473E98
0046F698    BA F8F74600       mov    edx, 0046F7F8                         ; ASCII "-sd823sdklf3xd"
0046F69D    E8 3E4AF9FF       call 004040E0
0046F6A2    8B45 FC          mov    eax, dword ptr [ebp-4]
0046F6A5    8B80 34030000    mov    eax, dword ptr [eax+334]
0046F6AB    8B10             mov    edx, dword ptr [eax]
0046F6AD    FF92 CC000000    call dword ptr [edx+CC]
0046F6B3    48                dec    eax
0046F6B4    75 0F             jnz    short 0046F6C5                         ; y
0046F6B6    B8 983E4700       mov    eax, 00473E98
0046F6BB    BA 10F84600       mov    edx, 0046F810                         ; ASCII "-f890sdfj37s3f"
0046F6C0    E8 1B4AF9FF       call 004040E0
0046F6C5    6A 01             push 1
0046F6C7    FF35 943E4700    push dword ptr [473E94]
0046F6CD    68 28F84600       push 0046F828                               ; ASCII "Goail.exe "  主文件名
0046F6D2    FF35 983E4700    push dword ptr [473E98]
0046F6D8    8D85 64FFFFFF    lea    eax, dword ptr [ebp-9C]
0046F6DE    BA 03000000       mov    edx, 3
0046F6E3    E8 244DF9FF       call 0040440C
0046F6E8    8B85 64FFFFFF    mov    eax, dword ptr [ebp-9C]
0046F6EE    E8 594EF9FF       call 0040454C
0046F6F3    50                push eax
0046F6F4    E8 D76EF9FF       call <jmp.&kernel32.WinExec> 打开主文件
0046F6F9    6A 00             push 0
0046F6FB    A1 843E4700       mov    eax, dword ptr [473E84]
0046F700    E8 B778FDFF       call 00446FBC
0046F705    50                push eax
0046F706    E8 ED75F9FF       call <jmp.&user32.ShowWindow>
0046F70B    68 E8030000       push 3E8
0046F710    E8 77DBF9FF       call <jmp.&kernel32.Sleep>
0046F715    6A 00             push 0
0046F717    E8 7C6CF9FF       call <jmp.&kernel32.ExitProcess>  关闭启动文件
0046F71C    EB 11             jmp    short 0046F72F
0046F71E    B8 40F84600       mov    eax, 0046F840
0046F723    E8 5CCDFBFF       call 0042C484
0046F728    6A 00             push 0
0046F72A    E8 696CF9FF       call <jmp.&kernel32.ExitProcess>

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

GoalBet.part1.rar （0.98MB，8次下载）
GoalBet.part2.rar （0.98MB，8次下载）
GoalBet.part3.rar （0.98MB，9次下载）
GoalBet.part4.rar （0.98MB，8次下载）
GoalBet.part5.rar （401.65kb，8次下载）

收藏・1

免费・0

支持

最新回复 (24)
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 2 楼感觉听着像 java虚拟机和Java程序似的（Goal\Goail是引擎的效果，那他应该是可以调试的啊）有实例么？ 2010-3-19 10:38 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 3 楼不是JAVA 是可执行的EXE程序，我传上来供你下载 2010-3-19 10:46 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 4 楼我知道不是，只是形式像，相当于引擎+文件的方法吧。 2010-3-19 10:58 0
vienna 雪币： 217 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	vienna 5 楼还不够钱转正。。不敢下楼主这么多附件 2010-3-19 11:14 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 6 楼方便的话加我Q交流，谢谢！qq40482323 2010-3-19 11:18 0
qml 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 108 粉丝 0 关注私信	qml 7 楼我觉得像引擎样的 2010-3-19 12:28 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 8 楼原理跟dll调用的区别在哪里？ 2010-3-19 12:49 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 9 楼 DLL的可以调试，但这个是不可以的提示不是有效的WIN32程序”，而且带启动参数，这是最大的不同点 2010-3-19 13:46 0
sdoat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	sdoat 10 楼我也这样认为，感觉很像 2010-3-19 13:56 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 11 楼有高人指点下吗？ 2010-3-19 22:02 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 12 楼直接调那个可以运行的（就叫引擎吧）应该是会有些成效的。可惜我不会脱壳啊。弄不下去了。 2010-3-19 22:05 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 13 楼直接附加参数调试会提示“不是有效的32位程序”？感觉好像是在另一个程序里修改了它。 2010-3-19 22:10 0
任天广雪币： 622 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 167 粉丝 0 关注私信	任天广 14 楼我也遇到了一个类似的软件看看是不是一个原理大哥还是一个tmd 的壳 2010-3-19 22:23 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 15 楼有WriteProcessmemory吗？ 2010-3-19 23:22 0
logkiller 雪币： 8159 活跃值： (3321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 777 粉丝 1 关注私信	logkiller 16 楼附加可以么 2010-3-20 08:47 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 17 楼有WriteProcessmemory吗？什么意思？能解释下？ 2010-3-20 11:22 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 18 楼附加可以么附加肯定是不行的？ 2010-3-20 11:23 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 19 楼进程1 有没有写进程2 的内存？ 2010-3-20 12:40 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 20 楼 WriteProcessMemory 是一个API函数 2010-3-20 12:42 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 21 楼关键是这种软件，怎么调试？难道软件主体这样保护就相当于金钟罩护体了吗？没办法修改？ 2010-3-20 14:47 0
moviebat 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 175 粉丝 0 关注私信	moviebat 22 楼应该说，没有不可破的，只是原有的思路不行 2010-3-20 15:26 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 23 楼是一个API函数，呵呵 2010-3-20 21:38 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 24 楼的确是一个函数WriteProcessmemory，登陆器通过这个函数启动主文件的 2010-3-20 22:48 0
沧海在线雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	沧海在线 25 楼那个一个文件都要分好几部分下,,,,不屑ING 2010-3-22 20:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

晕晕的我

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 2 楼感觉听着像 java虚拟机和Java程序似的（Goal\Goail是引擎的效果，那他应该是可以调试的啊）有实例么？ 2010-3-19 10:38 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 3 楼不是JAVA 是可执行的EXE程序，我传上来供你下载 2010-3-19 10:46 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 4 楼我知道不是，只是形式像，相当于引擎+文件的方法吧。 2010-3-19 10:58 0
vienna 雪币： 217 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	vienna 5 楼还不够钱转正。。不敢下楼主这么多附件 2010-3-19 11:14 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 6 楼方便的话加我Q交流，谢谢！qq40482323 2010-3-19 11:18 0
qml 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 108 粉丝 0 关注私信	qml 7 楼我觉得像引擎样的 2010-3-19 12:28 0
BlueT 雪币： 517 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 883 粉丝 0 关注私信	BlueT 2 8 楼原理跟dll调用的区别在哪里？ 2010-3-19 12:49 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 9 楼 DLL的可以调试，但这个是不可以的提示不是有效的WIN32程序”，而且带启动参数，这是最大的不同点 2010-3-19 13:46 0
sdoat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	sdoat 10 楼我也这样认为，感觉很像 2010-3-19 13:56 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 11 楼有高人指点下吗？ 2010-3-19 22:02 0
GoodGavin 雪币： 119 活跃值： (10) 能力值： ( LV9，RANK：160 ) 在线值：发帖 20 回帖 291 粉丝 0 关注私信	GoodGavin 3 12 楼直接调那个可以运行的（就叫引擎吧）应该是会有些成效的。可惜我不会脱壳啊。弄不下去了。 2010-3-19 22:05 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 13 楼直接附加参数调试会提示“不是有效的32位程序”？感觉好像是在另一个程序里修改了它。 2010-3-19 22:10 0
任天广雪币： 622 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 167 粉丝 0 关注私信	任天广 14 楼我也遇到了一个类似的软件看看是不是一个原理大哥还是一个tmd 的壳 2010-3-19 22:23 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 15 楼有WriteProcessmemory吗？ 2010-3-19 23:22 0
logkiller 雪币： 8159 活跃值： (3321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 777 粉丝 1 关注私信	logkiller 16 楼附加可以么 2010-3-20 08:47 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 17 楼有WriteProcessmemory吗？什么意思？能解释下？ 2010-3-20 11:22 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 18 楼附加可以么附加肯定是不行的？ 2010-3-20 11:23 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 19 楼进程1 有没有写进程2 的内存？ 2010-3-20 12:40 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 20 楼 WriteProcessMemory 是一个API函数 2010-3-20 12:42 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 21 楼关键是这种软件，怎么调试？难道软件主体这样保护就相当于金钟罩护体了吗？没办法修改？ 2010-3-20 14:47 0
moviebat 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 175 粉丝 0 关注私信	moviebat 22 楼应该说，没有不可破的，只是原有的思路不行 2010-3-20 15:26 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 23 楼是一个API函数，呵呵 2010-3-20 21:38 0
晕晕的我雪币： 99 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	晕晕的我 24 楼的确是一个函数WriteProcessmemory，登陆器通过这个函数启动主文件的 2010-3-20 22:48 0
沧海在线雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	沧海在线 25 楼那个一个文件都要分好几部分下,,,,不屑ING 2010-3-22 20:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复