首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
求助:一个反调试软件的程序-Windows信使群发器
发表于: 2005-3-14 23:35 5728

求助:一个反调试软件的程序-Windows信使群发器

kitty 活跃值
2005-3-14 23:35
5728
Windows信使群发器是个不错的信使群发器,
我想破解它,它的下载地址是:http://www.cnysoft.com/software/down.asp?sid=NetSendMsg
下载后用peid查壳,发现是aspack2.12b的壳,用aspackdie1.41脱壳。脱壳后是unpacked.exe,运行,发现出现启动窗口就消失,用OLLYDBG.EXE载入它先f8,后用f7大法,发现以下内容:
00403E26 8D542410                lea edx, dword ptr [esp+10]
:00403E2A 52                      push edx
:00403E2B 8D4C242C                lea ecx, dword ptr [esp+2C]
:00403E2F 8BE8                    mov ebp, eax
:00403E31 E852E40100              call 00422288
:00403E36 8B442410                mov eax, dword ptr [esp+10]

* Possible StringData Ref from Data Obj ->"netsendmsg.exe"
                                  |
:00403E3A 68E8034600              push 004603E8
:00403E3F 50                      push eax
:00403E40 C684249C0F000005        mov byte ptr [esp+00000F9C], 05
:00403E48 E8BF680200              call 0042A70C
:00403E4D 83C408                  add esp, 00000008
:00403E50 85C0                    test eax, eax
:00403E52 0F84B9000000            je 00403F11
:00403E58 8B4C2410                mov ecx, dword ptr [esp+10]

* Possible StringData Ref from Data Obj ->"nsm.exe"
                                  |
:00403E5C 68E0034600              push 004603E0
:00403E61 51                      push ecx
:00403E62 E8A5680200              call 0042A70C
:00403E67 83C408                  add esp, 00000008
:00403E6A 85C0                    test eax, eax
:00403E6C 0F849F000000            je 00403F11
:00403E72 8B542410                mov edx, dword ptr [esp+10]

* Possible StringData Ref from Data Obj ->"unins000.exe"
                                  |
:00403E76 68D0034600              push 004603D0
:00403E7B 52                      push edx
:00403E7C E88B680200              call 0042A70C
我想是它比较启动的主程序的名称,如果不是就退出。把脱壳后的文件改为主程序文件netsendmsg.exe直接启动正常, 退出后再用OLLYDBG载入,按f9运行出错,忽略错误,主程序退出了。用插件isdebuger隐藏也是这样。我又用wdasm反汇编,再载入运行,它也是出错退出,请肉鸟帮下我这新手找个方向,在上段代码的下面几十行可能是对OLLYDBG等调试软件的防范,
请高手指点下帮我去除它的反调试功能。
* Possible StringData Ref from Data Obj ->"unins000.exe"
                                  |
:00403E76 68D0034600              push 004603D0
:00403E7B 52                      push edx
:00403E7C E88B680200              call 0042A70C
:00403E81 83C408                  add esp, 00000008
:00403E84 85C0                    test eax, eax
:00403E86 0F8485000000            je 00403F11
:00403E8C 8B442410                mov eax, dword ptr [esp+10]
:00403E90 50                      push eax
:00403E91 8BCB                    mov ecx, ebx
:00403E93 E828070000              call 004045C0
:00403E98 83F8FF                  cmp eax, FFFFFFFF
:00403E9B 741B                    je 00403EB8
:00403E9D 50                      push eax
:00403E9E 6A00                    push 00000000
:00403EA0 68FF0F1F00              push 001F0FFF

* Reference To: KERNEL32.OpenProcess, Ord:01EFh
                                  |
:00403EA5 FF1574F34400            Call dword ptr [0044F374]
:00403EAB 85C0                    test eax, eax
:00403EAD 7409                    je 00403EB8
:00403EAF 6A00                    push 00000000
:00403EB1 50                      push eax

* Reference To: KERNEL32.TerminateProcess, Ord:029Eh
                                  |
:00403EB2 FF1578F34400            Call dword ptr [0044F378]

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00403E9B(C), :00403EAD(C)
|
:00403EB8 8D4C2420                lea ecx, dword ptr [esp+20]
:00403EBC 51                      push ecx
:00403EBD 8D4C242C                lea ecx, dword ptr [esp+2C]
:00403EC1 E899E20100              call 0042215F
:00403EC6 8B00                    mov eax, dword ptr [eax]

* Possible StringData Ref from Data Obj ->"r+w+b"
                                  |
:00403EC8 68C8034600              push 004603C8
:00403ECD 50                      push eax
:00403ECE E826680200              call 0042A6F9
:00403ED3 83C408                  add esp, 00000008
:00403ED6 8D4C2420                lea ecx, dword ptr [esp+20]
:00403EDA 8BF0                    mov esi, eax
:00403EDC E872E00300              call 00441F53
:00403EE1 85F6                    test esi, esi
:00403EE3 742C                    je 00403F11
:00403EE5 BF32000000              mov edi, 00000032

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00403F06(C)
|
:00403EEA E8B7670200              call 0042A6A6
:00403EEF 56                      push esi
:00403EF0 6A04                    push 00000004
:00403EF2 8D54241C                lea edx, dword ptr [esp+1C]
:00403EF6 6A04                    push 00000004
:00403EF8 52                      push edx
:00403EF9 89442424                mov dword ptr [esp+24], eax
:00403EFD E85E660200              call 0042A560
:00403F02 83C410                  add esp, 00000010
:00403F05 4F                      dec edi
:00403F06 75E2                    jne 00403EEA
:00403F08 56                      push esi
:00403F09 E8D5650200              call 0042A4E3
:00403F0E 83C404                  add esp, 00000004

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00403E52(C), :00403E6C(C), :00403E86(C), :00403EE3(C)
|
:00403F11 8D4C2410                lea ecx, dword ptr [esp+10]
:00403F15 C68424940F000003        mov byte ptr [esp+00000F94], 03
:00403F1D E831E00300              call 00441F53
:00403F22 85ED                    test ebp, ebp
:00403F24 0F85F3FEFFFF            jne 00403E1D

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00403E17(C)
|
:00403F2A 8BCB                    mov ecx, ebx
:00403F2C E89F050000              call 004044D0

* Reference To: USER32.PeekMessageA, Ord:01DCh
                                  |
:00403F31 8B3500F64400            mov esi, dword ptr [0044F600]

* Reference To: USER32.TranslateMessage, Ord:0282h
                                  |
:00403F37 8B2D04F64400            mov ebp, dword ptr [0044F604]

* Reference To: USER32.DispatchMessageA, Ord:0095h
                                  |
:00403F3D 8B3D08F64400            mov edi, dword ptr [0044F608]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00403F8A(C)
|
:00403F43 6A01                    push 00000001
:00403F45 6A00                    push 00000000
:00403F47 6A00                    push 00000000
:00403F49 6A00                    push 00000000
:00403F4B 8D442454                lea eax, dword ptr [esp+54]
:00403F4F 50                      push eax
:00403F50 FFD6                    call esi
:00403F52 85C0                    test eax, eax
:00403F54 740E                    je 00403F64
:00403F56 8D4C2444                lea ecx, dword ptr [esp+44]
:00403F5A 51                      push ecx
:00403F5B FFD5                    call ebp
:00403F5D 8D542444                lea edx, dword ptr [esp+44]
:00403F61 52                      push edx
:00403F62 FFD7                    call edi

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00403F54(C)
|
:00403F64 51                      push ecx
:00403F65 8B4C2428                mov ecx, dword ptr [esp+28]
:00403F69 8BC4                    mov eax, esp
:00403F6B 89642418                mov dword ptr [esp+18], esp
:00403F6F 8D542424                lea edx, dword ptr [esp+24]
:00403F73 8908                    mov dword ptr [eax], ecx
:00403F75 52                      push edx
:00403F76 8D442418                lea eax, dword ptr [esp+18]
:00403F7A 50                      push eax
:00403F7B E8CF8B0300              call 0043CB4F
:00403F80 8BC8                    mov ecx, eax
:00403F82 E8C9060000              call 00404650
:00403F87 833803                  cmp dword ptr [eax], 00000003
:00403F8A 7CB7                    jl 00403F43
:00403F8C 8B74241C                mov esi, dword ptr [esp+1C]
:00403F90 8B16                    mov edx, dword ptr [esi]
:00403F92 8BCE                    mov ecx, esi
:00403F94 FF5258                  call [edx+58]
:00403F97 85F6                    test esi, esi
:00403F99 7409                    je 00403FA4
:00403F9B 8B06                    mov eax, dword ptr [esi]
:00403F9D 6A01                    push 00000001
:00403F9F 8BCE                    mov ecx, esi
:00403FA1 FF5004                  call [eax+04]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00403F99(C)
|
:00403FA4 8B8360010000            mov eax, dword ptr [ebx+00000160]
:00403FAA 85C0                    test eax, eax
:00403FAC 743F                    je 00403FED
:00403FAE E8A8490400              call 0044895B
:00403FB3 8B4008                  mov eax, dword ptr [eax+08]
:00403FB6 6A00                    push 00000000
:00403FB8 6A00                    push 00000000

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (17)
kitty
雪    币: 93
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
这个软件除了要判别文件名、反调试软件,还有重启时判别注册码,发送信息时也会判别注册码是否正确等,若大虾、肉鸟等营养丰富的高手有空的话请指点一下,先谢了。
2005-3-15 08:09
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
最初由 kitty 发布
这个软件除了要判别文件名、反调试软件,还有重启时判别注册码,发送信息时也会判别注册码是否正确等,若大虾、肉鸟等营养丰富的高手有空的话请指点一下,先谢了。


一个简单不能再简单的东西,被你说成大量反调试,重启时判别注册码,判别文件名,这些的确都有,但太弱智,我5分钟就KO,它的全部产品我全部搞定了。

由于实在没有什么技术含量,我提都没提。

2005-3-15 10:44
0
DarkNess0ut
雪    币: 367
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
人家是0day组织
你大概就是5min组织
2005-3-15 10:56
0
cyclotron
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
5
最初由 DarkNess0ut 发布
人家是0day组织
你大概就是5min组织

2005-3-15 11:39
0
kitty
雪    币: 93
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
三楼的大佬,你可能是爆破,但是发信息时它会检验注册码,不是正确的注册码只能当试用版,只能发条10000条信息。这个是5。0版,网络上破解的版本是4。8版,表面是正确注册,但发信息时也是当试用版,请楼上的大佬用一下就知道。
2005-3-15 11:59
0
vcasm
雪    币: 260
活跃值: (162)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
最初由 kitty 发布
三楼的大佬,你可能是爆破,但是发信息时它会检验注册码,不是正确的注册码只能当试用版,只能发条10000条信息。这个是5。0版,网络上破解的版本是4。8版,表面是正确注册,但发信息时也是当试用版,请楼上的大佬用一下就知道。


鸡蛋壳就那样,你没必要在意,呵呵
2005-3-15 12:13
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 kitty 发布
三楼的大佬,你可能是爆破,但是发信息时它会检验注册码,不是正确的注册码只能当试用版,只能发条10000条信息。这个是5。0版,网络上破解的版本是4。8版,表面是正确注册,但发信息时也是当试用版,请楼上的大佬用一下就知道。


呵呵, 你太嫩了,它的所有产品全部是爆破,但全部都能正常使用,不能使用我爆个鸟,爆给谁看?
2005-3-15 14:36
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
最初由 vcasm 发布


鸡蛋壳就那样,你没必要在意,呵呵


你叫别人不要在意,你回个什么劲?
2005-3-15 14:37
0
DamnYa
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
最初由 鸡蛋壳 发布


呵呵, 你太嫩了,它的所有产品全部是爆破,但全部都能正常使用,不能使用我爆个鸟,爆给谁看?


引用cyclotron的签名发泄一下:
cyclotron.yculblog.com
黎叔:我最烦爆破的,一点技术含量都没有。。。
2005-3-15 16:15
0
kitty
雪    币: 93
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
爆破我也会,但我不和你争什么爆破能用与否,这个是技术论坛,就算能爆破我也希望能找到它的反调试的特点,大家学习一下也是好事。
2005-3-15 17:00
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
最初由 kitty 发布
爆破我也会,但我不和你争什么爆破能用与否,这个是技术论坛,就算能爆破我也希望能找到它的反调试的特点,大家学习一下也是好事。


不要隐瞒事实了,你若没尝试过,怎么能这么肯定我的爆破就无法使用,显然你尝试过,而且并不是很有效。
2005-3-15 17:04
0
kitty
雪    币: 93
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
对,鸡蛋壳,我爆破不是很彻底,请指点几个断点,让我服一下你。
2005-3-15 17:44
0
hswanfang
雪    币: 5
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
鸡蛋壳就是赢政论坛的WOWO2008吧,暴的东西是很多,但都是些垃圾,十个有八个不能用
2005-3-16 08:16
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
最初由 hswanfang 发布
鸡蛋壳就是赢政论坛的WOWO2008吧,暴的东西是很多,但都是些垃圾,十个有八个不能用


不好意思,其中不乏有本人作品,此人和我是同学关系,但你若说10个八个不能用,我只能说你不应该拥有电脑,而去种田最好。
2005-3-16 14:33
0
deanlh
雪    币: 242
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
小蛋蛋,你的作品是10个有8个人用不了。。。。。。看样子电脑是小蛋蛋一人用,别人都不能用。。。
2005-3-16 14:46
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
最初由 deanlh 发布
小蛋蛋,你的作品是10个有8个人用不了。。。。。。看样子电脑是小蛋蛋一人用,别人都不能用。。。


那就没办法,他不能用不等于代表整体。我能用并不一定只代表我个人。
2005-3-16 15:22
0
kitty
雪    币: 93
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
除了鸡蛋壳帮手顶了几下,只有自己顶了,没有办法,有脱壳技术的高手也帮一下手吧,反调试功能也是脱壳技术的一部分。这几天就自己顶,版主别要删呀?
2005-3-17 07:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//