为什么脱了壳，程序可以运行，却无法登陆？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

为什么脱了壳，程序可以运行，却无法登陆？

发表于: 2005-2-6 16:42 6555

为什么脱了壳，程序可以运行，却无法登陆？

sassy

2005-2-6 16:42

6555

我又学着脱http://www.cnverysoft.com/download/RealLink3.1.zip的壳
壳好像是脱了，程序可以运行，但为什么不能登陆呢？
脱壳过程如下：
PEID侦壳为：ASPack 2.12 -> Alexey Solodovnikov
用OD打开reallink.exe,用IsDebugPresent插件Hide。然后按 Ctrl+B键，搜索二进制字符输入ASPack壳的各版本通用特征代码 61 75 08。然后来到：
00D873AF 61             POPAD
00D873B0 75 08          JNZ SHORT RealLink.00D873BA
00D873B2 B8 01000000    MOV EAX,1
00D873B7 C2 0C00       RETN 0C
00D873BA 68 00000000    PUSH 0
00D873BF C3             RETN
在00D873B0 75 08          JNZ SHORT RealLink.00D873BA下断点。
然后运行，断点程序停止，再按F7单步三次来到了：
00920298 55             PUSH EBP
00920299 8BEC          MOV EBP,ESP
0092029B B9 04000000    MOV ECX,4
009202A0 6A 00          PUSH 0
009202A2 6A 00          PUSH 0
009202A4 49             DEC ECX
009202A5  ^75 F9          JNZ SHORT RealLink.009202A0
009202A7 51             PUSH ECX
009202A8 53             PUSH EBX
009202A9 56             PUSH ESI
009202AA B8 10F29100    MOV EAX,RealLink.0091F210
009202AF E8 CC72AEFF    CALL RealLink.00407580
009202B4 33C0          XOR EAX,EAX
009202B6 55             PUSH EBP
009202B7 68 C1059200    PUSH RealLink.009205C1

然后用插件ollydump,get eip as oep,然后DUMP生成了dump.exe
然后关掉OD，运行reallink.exe和Import REConstructor，用Import REConstructor选择reallink.exe ，oep里些520298获取了输入表，然后修复dump.exe 得到了dump_.exe。关掉所有程序。运行dump_.exe,程序运行正常，但无法登陆。怎么回事？哪里有错么？reallink是一个P&P软件，类以QQ，可以登陆的那种。那位大侠能给个指点?

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (17)
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 2 楼斑竹啊！这里的人怎么都这样啊？光看贴在，都不回啊！光学东西，却不肯把自己知道的说出来啊！这样可不好哦 2005-2-6 21:01 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 stripper_v207f 2005-2-6 21:29 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 4 楼 009202AF E8 CC72AEFF CALL RealLink.00407580 importREC找IAT的时候oep写407580自动找呵呵，楼主啊 reallink是变态，壳脱出来没问题的登录包里包含着主程序自校验，如果服务器发现校验不对，它就不理你哈，然后你就慢慢等着超时~~ ^_^ 2005-2-6 21:36 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 5 楼 009202AF E8 CC72AEFF CALL RealLink.00407580 importREC找IAT的时候oep写407580自动找呵呵，楼主啊 reallink是变态，壳脱出来没问题的登录包里包含着主程序自校验，如果服务器发现校验不对，它就不理你哈，然后你就慢慢等着超时~~ ^_^ 强，这都被你发现了夏天到上海去shooooooooooooooooooooooooooooooooping 2005-2-6 21:42 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 6 楼最初由 WiNrOOt 发布强，这都被你发现了夏天到上海去shooooooooooooooooooooooooooooooooping 上个月正好搞过reallink shoooooooooooooooooooooot in the head 2005-2-6 21:47 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 7 楼还是不对啊。运行reallink.exe和Import REConstructor，用Import REConstructor选择reallink.exe ，oep里写407580，然后点击自动搜索IAT，显示是OEP中找不到任何有用的信息啊？怎么回事？想不通 2005-2-7 01:44 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 8 楼还有给FLY大哥个建议，不要生气哈。我知道FLY很愿意帮助新手，我也能理解大虾老回答简单的问题会很乏味和厌烦的。但你回答的问题的答案也太简单啦，根本就看不懂啦！stripper_v207f是什么东东啊？我强烈呼吁各位已经成为高手，或半高不高的半高手，能多帮帮FLY多回答点问题，以减轻FLY的工作量。让更多的菜鸟入门。 2005-2-7 01:51 0
jims 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	jims 9 楼楼上,fly是说的在这里:http://www.pediy.com/tools/unpacker.htm 可以全自动脱ASProtect1.2x的壳，支持EXE和DLL文件，工作平台Windows 2000/XP 2005-2-7 06:04 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 10 楼最初由 sassy 发布还是不对啊。运行reallink.exe和Import REConstructor，用Import REConstructor选择reallink.exe ，oep里写407580，然后点击自动搜索IAT，显示是OEP中找不到任何有用的信息啊？怎么回事？想不通 oep里写7580 2005-2-7 10:35 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 11 楼 shoooo,呵呵，被烦哈！还是不对嘛！用7580修复了抓取的文件后， dump_.exe根本就不能正常运行了，登陆的窗口根本就不能出现。我觉得这么发帖子是不是太慢了。我也上海的，能用电话联系么？ 2005-2-7 11:38 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 12 楼最初由 sassy 发布 shoooo,呵呵，被烦哈！还是不对嘛！用7580修复了抓取的文件后， dump_.exe根本就不能正常运行了，登陆的窗口根本就不能出现。我觉得这么发帖子是不是太慢了。我也上海的，能用电话联系么？你到这里了 00920298 55 PUSH EBP 00920299 8BEC MOV EBP,ESP 0092029B B9 04000000 MOV ECX,4 009202A0 6A 00 PUSH 0 009202A2 6A 00 PUSH 0 009202A4 49 DEC ECX 009202A5 ^75 F9 JNZ SHORT RealLink.009202A0 009202A7 51 PUSH ECX 009202A8 53 PUSH EBX 009202A9 56 PUSH ESI 009202AA B8 10F29100 MOV EAX,RealLink.0091F210 009202AF E8 CC72AEFF CALL RealLink.00407580 009202B4 33C0 XOR EAX,EAX 009202B6 55 PUSH EBP 009202B7 68 C1059200 PUSH RealLink.009205C1 importREC里oep写7580，IATAutoSearch，Get Imports 得到都是真的IAT,然后oep改回520298，Fix Dump~~~ 请我打ＣＳ吧 2005-2-7 12:26 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 13 楼来到了： 00920298 55 PUSH EBP 00920299 8BEC MOV EBP,ESP 0092029B B9 04000000 MOV ECX,4 009202A0 6A 00 PUSH 0 009202A2 6A 00 PUSH 0 009202A4 49 DEC ECX 009202A5 ^75 F9 JNZ SHORT RealLink.009202A0 009202A7 51 PUSH ECX 009202A8 53 PUSH EBX 009202A9 56 PUSH ESI 009202AA B8 10F29100 MOV EAX,RealLink.0091F210 009202AF E8 CC72AEFF CALL RealLink.00407580 009202B4 33C0 XOR EAX,EAX 009202B6 55 PUSH EBP 009202B7 68 C1059200 PUSH RealLink.009205C1 然后用插件ollydump,get eip as oep,然后DUMP生成了dump.exe 然后关掉OD，运行reallink.exe和Import REConstructor，用Import REConstructor选择reallink.exe ，importREC里oep写7580，自动搜索IAT，获得输入表，得到IAT,然后oep改回520298，修复抓取文件。生成了dump_.exe。大哥程序是可以运行了。但还是无法登陆。 2005-2-7 20:33 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 14 楼最初由 sassy 发布来到了： 00920298 55 PUSH EBP 00920299 8BEC MOV EBP,ESP 0092029B B9 04000000 MOV ECX,4 ........ 无法登录是正常的，我在4楼解释过了，服务器不理采校验出错的登录包 2005-2-7 21:16 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 15 楼那你不是把reallink脱壳么？你脱壳的reallink也不能登陆么？如果reallink脱壳后不能登陆的话，那怎么能算是真正的脱壳呢？ 2005-2-8 05:18 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 16 楼最初由 sassy 发布那你不是把reallink脱壳么？你脱壳的reallink也不能登陆么？如果reallink脱壳后不能登陆的话，那怎么能算是真正的脱壳呢？脱壳了，接下来的问题就是逆向调试，截取封包自己研究 2005-2-8 15:11 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 17 楼晕啊，这个东西对刚学的人是不是太难了啊！我在这里还没呆过一个星期。那好了，我就接着向大虾请教如何逆向调试。有人知道么？或者哪有详细的文集告诉我，我自己看. 2005-2-8 15:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼《加密与解密》《看雪论坛精华》先找容易的学习要有耐心、毅力 2005-2-8 15:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sassy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 2 楼斑竹啊！这里的人怎么都这样啊？光看贴在，都不回啊！光学东西，却不肯把自己知道的说出来啊！这样可不好哦 2005-2-6 21:01 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 stripper_v207f 2005-2-6 21:29 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 4 楼 009202AF E8 CC72AEFF CALL RealLink.00407580 importREC找IAT的时候oep写407580自动找呵呵，楼主啊 reallink是变态，壳脱出来没问题的登录包里包含着主程序自校验，如果服务器发现校验不对，它就不理你哈，然后你就慢慢等着超时~~ ^_^ 2005-2-6 21:36 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 5 楼 009202AF E8 CC72AEFF CALL RealLink.00407580 importREC找IAT的时候oep写407580自动找呵呵，楼主啊 reallink是变态，壳脱出来没问题的登录包里包含着主程序自校验，如果服务器发现校验不对，它就不理你哈，然后你就慢慢等着超时~~ ^_^ 强，这都被你发现了夏天到上海去shooooooooooooooooooooooooooooooooping 2005-2-6 21:42 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 6 楼最初由 WiNrOOt 发布强，这都被你发现了夏天到上海去shooooooooooooooooooooooooooooooooping 上个月正好搞过reallink shoooooooooooooooooooooot in the head 2005-2-6 21:47 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 7 楼还是不对啊。运行reallink.exe和Import REConstructor，用Import REConstructor选择reallink.exe ，oep里写407580，然后点击自动搜索IAT，显示是OEP中找不到任何有用的信息啊？怎么回事？想不通 2005-2-7 01:44 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 8 楼还有给FLY大哥个建议，不要生气哈。我知道FLY很愿意帮助新手，我也能理解大虾老回答简单的问题会很乏味和厌烦的。但你回答的问题的答案也太简单啦，根本就看不懂啦！stripper_v207f是什么东东啊？我强烈呼吁各位已经成为高手，或半高不高的半高手，能多帮帮FLY多回答点问题，以减轻FLY的工作量。让更多的菜鸟入门。 2005-2-7 01:51 0
jims 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	jims 9 楼楼上,fly是说的在这里:http://www.pediy.com/tools/unpacker.htm 可以全自动脱ASProtect1.2x的壳，支持EXE和DLL文件，工作平台Windows 2000/XP 2005-2-7 06:04 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 10 楼最初由 sassy 发布还是不对啊。运行reallink.exe和Import REConstructor，用Import REConstructor选择reallink.exe ，oep里写407580，然后点击自动搜索IAT，显示是OEP中找不到任何有用的信息啊？怎么回事？想不通 oep里写7580 2005-2-7 10:35 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 11 楼 shoooo,呵呵，被烦哈！还是不对嘛！用7580修复了抓取的文件后， dump_.exe根本就不能正常运行了，登陆的窗口根本就不能出现。我觉得这么发帖子是不是太慢了。我也上海的，能用电话联系么？ 2005-2-7 11:38 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 12 楼最初由 sassy 发布 shoooo,呵呵，被烦哈！还是不对嘛！用7580修复了抓取的文件后， dump_.exe根本就不能正常运行了，登陆的窗口根本就不能出现。我觉得这么发帖子是不是太慢了。我也上海的，能用电话联系么？你到这里了 00920298 55 PUSH EBP 00920299 8BEC MOV EBP,ESP 0092029B B9 04000000 MOV ECX,4 009202A0 6A 00 PUSH 0 009202A2 6A 00 PUSH 0 009202A4 49 DEC ECX 009202A5 ^75 F9 JNZ SHORT RealLink.009202A0 009202A7 51 PUSH ECX 009202A8 53 PUSH EBX 009202A9 56 PUSH ESI 009202AA B8 10F29100 MOV EAX,RealLink.0091F210 009202AF E8 CC72AEFF CALL RealLink.00407580 009202B4 33C0 XOR EAX,EAX 009202B6 55 PUSH EBP 009202B7 68 C1059200 PUSH RealLink.009205C1 importREC里oep写7580，IATAutoSearch，Get Imports 得到都是真的IAT,然后oep改回520298，Fix Dump~~~ 请我打ＣＳ吧 2005-2-7 12:26 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 13 楼来到了： 00920298 55 PUSH EBP 00920299 8BEC MOV EBP,ESP 0092029B B9 04000000 MOV ECX,4 009202A0 6A 00 PUSH 0 009202A2 6A 00 PUSH 0 009202A4 49 DEC ECX 009202A5 ^75 F9 JNZ SHORT RealLink.009202A0 009202A7 51 PUSH ECX 009202A8 53 PUSH EBX 009202A9 56 PUSH ESI 009202AA B8 10F29100 MOV EAX,RealLink.0091F210 009202AF E8 CC72AEFF CALL RealLink.00407580 009202B4 33C0 XOR EAX,EAX 009202B6 55 PUSH EBP 009202B7 68 C1059200 PUSH RealLink.009205C1 然后用插件ollydump,get eip as oep,然后DUMP生成了dump.exe 然后关掉OD，运行reallink.exe和Import REConstructor，用Import REConstructor选择reallink.exe ，importREC里oep写7580，自动搜索IAT，获得输入表，得到IAT,然后oep改回520298，修复抓取文件。生成了dump_.exe。大哥程序是可以运行了。但还是无法登陆。 2005-2-7 20:33 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 14 楼最初由 sassy 发布来到了： 00920298 55 PUSH EBP 00920299 8BEC MOV EBP,ESP 0092029B B9 04000000 MOV ECX,4 ........ 无法登录是正常的，我在4楼解释过了，服务器不理采校验出错的登录包 2005-2-7 21:16 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 15 楼那你不是把reallink脱壳么？你脱壳的reallink也不能登陆么？如果reallink脱壳后不能登陆的话，那怎么能算是真正的脱壳呢？ 2005-2-8 05:18 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 16 楼最初由 sassy 发布那你不是把reallink脱壳么？你脱壳的reallink也不能登陆么？如果reallink脱壳后不能登陆的话，那怎么能算是真正的脱壳呢？脱壳了，接下来的问题就是逆向调试，截取封包自己研究 2005-2-8 15:11 0
sassy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	sassy 17 楼晕啊，这个东西对刚学的人是不是太难了啊！我在这里还没呆过一个星期。那好了，我就接着向大虾请教如何逆向调试。有人知道么？或者哪有详细的文集告诉我，我自己看. 2005-2-8 15:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼《加密与解密》《看雪论坛精华》先找容易的学习要有耐心、毅力 2005-2-8 15:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复