首页
社区
课程
招聘
[旧帖] 一个很有新意软件的启动验证,应该是新的加密趋势 0.00雪花
发表于: 2010-3-19 10:17 6206

[旧帖] 一个很有新意软件的启动验证,应该是新的加密趋势 0.00雪花

2010-3-19 10:17
6206
这个程序是由另外一个文件加载验证启动的,他的参数和启动信息都有第一个文件给予,单独启动这个文件会“提示不是有效的WIN32程序”,不知道这种是不是最新的加密趋势,因为你无法单独对这个文件进行调试和脱壳。。。所以破解基本没有可能。。。不知道是否是这种情况,谢谢!
这是软件正式启动时候的OD代码,启动的时候是用C:\Program Files\Goal\Goail.exe -sd823sdklf3xd  启动的,但你用OD加载参数调试他确是不行的。。。
请教是否有好的脱壳或调试这个主文件的方法!
0046F665    /74 17              je      short 0046F67E                          ;
0046F667    |8B45 FC            mov     eax, dword ptr [ebp-4]
0046F66A    |8B80 14030000      mov     eax, dword ptr [eax+314]
0046F670    |66:BE EBFF         mov     si, 0FFEB
0046F674    |E8 3B3EF9FF        call    004034B4
0046F679    |E9 B1000000        jmp     0046F72F
0046F67E    \8B45 FC            mov     eax, dword ptr [ebp-4]
0046F681     8B80 34030000      mov     eax, dword ptr [eax+334]
0046F687     8B10               mov     edx, dword ptr [eax]
0046F689     FF92 CC000000      call    dword ptr [edx+CC]
0046F68F     85C0               test    eax, eax
0046F691     75 0F              jnz     short 0046F6A2
0046F693     B8 983E4700        mov     eax, 00473E98
0046F698     BA F8F74600        mov     edx, 0046F7F8                           ; ASCII "-sd823sdklf3xd"
0046F69D     E8 3E4AF9FF        call    004040E0
0046F6A2     8B45 FC            mov     eax, dword ptr [ebp-4]
0046F6A5     8B80 34030000      mov     eax, dword ptr [eax+334]
0046F6AB     8B10               mov     edx, dword ptr [eax]
0046F6AD     FF92 CC000000      call    dword ptr [edx+CC]
0046F6B3     48                 dec     eax
0046F6B4     75 0F              jnz     short 0046F6C5                          ; y
0046F6B6     B8 983E4700        mov     eax, 00473E98
0046F6BB     BA 10F84600        mov     edx, 0046F810                           ; ASCII "-f890sdfj37s3f"
0046F6C0     E8 1B4AF9FF        call    004040E0
0046F6C5     6A 01              push    1
0046F6C7     FF35 943E4700      push    dword ptr [473E94]
0046F6CD     68 28F84600        push    0046F828                                ; ASCII "Goail.exe "  主文件名
0046F6D2     FF35 983E4700      push    dword ptr [473E98]
0046F6D8     8D85 64FFFFFF      lea     eax, dword ptr [ebp-9C]
0046F6DE     BA 03000000        mov     edx, 3
0046F6E3     E8 244DF9FF        call    0040440C
0046F6E8     8B85 64FFFFFF      mov     eax, dword ptr [ebp-9C]
0046F6EE     E8 594EF9FF        call    0040454C
0046F6F3     50                 push    eax
0046F6F4     E8 D76EF9FF        call    <jmp.&kernel32.WinExec>   打开主文件
0046F6F9     6A 00              push    0
0046F6FB     A1 843E4700        mov     eax, dword ptr [473E84]
0046F700     E8 B778FDFF        call    00446FBC
0046F705     50                 push    eax
0046F706     E8 ED75F9FF        call    <jmp.&user32.ShowWindow>
0046F70B     68 E8030000        push    3E8
0046F710     E8 77DBF9FF        call    <jmp.&kernel32.Sleep>
0046F715     6A 00              push    0
0046F717     E8 7C6CF9FF        call    <jmp.&kernel32.ExitProcess>  关闭启动文件
0046F71C     EB 11              jmp     short 0046F72F
0046F71E     B8 40F84600        mov     eax, 0046F840
0046F723     E8 5CCDFBFF        call    0042C484
0046F728     6A 00              push    0
0046F72A     E8 696CF9FF        call    <jmp.&kernel32.ExitProcess>

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (24)
雪    币: 119
活跃值: (10)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
2
感觉听着像 java虚拟机和Java程序似的(Goal\Goail是引擎的效果,那他应该是可以调试的啊)

有实例么?
2010-3-19 10:38
0
雪    币: 99
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不是JAVA 是可执行的EXE程序,我传上来供你下载
2010-3-19 10:46
0
雪    币: 119
活跃值: (10)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
4
我知道不是,只是形式像,相当于引擎+文件的方法吧。
2010-3-19 10:58
0
雪    币: 217
活跃值: (25)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
还不够钱转正。。不敢下楼主这么多附件
2010-3-19 11:14
0
雪    币: 99
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
方便的话加我Q交流,谢谢!qq40482323
2010-3-19 11:18
0
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qml
7
我觉得像引擎样的
2010-3-19 12:28
0
雪    币: 517
活跃值: (35)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
原理跟dll调用的区别在哪里?
2010-3-19 12:49
0
雪    币: 99
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
DLL的可以调试,但这个是不可以的提示不是有效的WIN32程序”,而且带启动参数,这是最大的不同点
2010-3-19 13:46
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
我也这样认为,感觉很像
2010-3-19 13:56
0
雪    币: 99
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
有高人指点下吗?
2010-3-19 22:02
0
雪    币: 119
活跃值: (10)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
12
直接调那个可以运行的(就叫引擎吧)应该是会有些成效的。可惜我不会脱壳啊。弄不下去了。
2010-3-19 22:05
0
雪    币: 401
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
直接附加参数调试会提示“不是有效的32位程序”?感觉好像是在另一个程序里修改了它。
2010-3-19 22:10
0
雪    币: 622
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
我也遇到了一个类似的软件  看看是不是一个原理
大哥还是一个tmd 的壳
2010-3-19 22:23
0
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
15
有WriteProcessmemory吗?
2010-3-19 23:22
0
雪    币: 8159
活跃值: (3321)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
附 加可以么
2010-3-20 08:47
0
雪    币: 99
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
有WriteProcessmemory吗?

什么意思?能解释下?
2010-3-20 11:22
0
雪    币: 99
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
附 加可以么

附加肯定是不行的?
2010-3-20 11:23
0
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
19
进程1 有没有 写进程2 的内存?
2010-3-20 12:40
0
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
20
WriteProcessMemory 是一个API函数
2010-3-20 12:42
0
雪    币: 99
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
关键是这种软件,怎么调试?难道软件主体这样保护就相当于金钟罩护体了吗?没办法修改?
2010-3-20 14:47
0
雪    币: 57
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
应该说,没有不可破的,只是原有的思路不行
2010-3-20 15:26
0
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
23
是一个API函数 ,呵呵
2010-3-20 21:38
0
雪    币: 99
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
的确是一个函数WriteProcessmemory,登陆器通过这个函数启动主文件的
2010-3-20 22:48
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
那个一个文件都要分好几部分下,,,,不屑ING
2010-3-22 20:50
0
游客
登录 | 注册 方可回帖
返回
//