首页
社区
课程
招聘
[求助]标题改了-叫:杀软引发的麻烦
发表于: 2011-1-7 15:16 6852

[求助]标题改了-叫:杀软引发的麻烦

2011-1-7 15:16
6852
应该是PC GUARD 5, 具体版本不敢确认, 也许是5.02,但找遍所有教程,调试过程都对不上.搜索了一下本论坛,发现一个特点.但凡PC GUARD的求助帖都是无解的. 本新手却又碰上一个这样的硬骨头, 不知道如何下嘴,实在难受难受呀.

哪位热心的朋友愿意帮忙,教教我如何啃了它?

::文件链接删除,已经无用了::

经查,是杀毒软件运行导致程序调试过程出现异常错误.关闭杀毒软件后,调试过程恢复正常.以前没有遇到过这样的冲突,以后会注意的.谢谢关心这个帖子的朋友们. 原来引发这个帖子的原因只是一个小小的"误会".

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 220
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
也许是因为其中的xxxxlic.dll是PCGUARD了,必须先把这个DLL脱壳,才能去触碰使用它的EXE.可惜找不到修复DLL的教程.菜鸟就是菜呀
2011-1-7 16:56
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
这个是那个xxxxlic的 一开始那个窗口是这个dll创建,
如果你要破解的话似乎不用脱壳啊?
貌似是被加了sdk了. 修复比较麻烦啊,
=========================
011F10FD    A1 50521F01     MOV EAX,DWORD PTR DS:[11F5250]
011F1102    8B0D CC561F01   MOV ECX,DWORD PTR DS:[11F56CC]           ; Shinalic.011F0000
011F1108    6A 00           PUSH 0
011F110A    68 D0181F01     PUSH 011F18D0
011F110F    50              PUSH EAX
011F1110    68 1C501F01     PUSH 011F501C                            ; ASCII "REMOTEDLG"
011F1115    51              PUSH ECX
011F1116    FF15 A0401F01   CALL DWORD PTR DS:[11F40A0]              ; USER32.DialogBoxParamA
011F111C    A1 C8561F01     MOV EAX,DWORD PTR DS:[11F56C8]
011F1121    5F              POP EDI
011F1122    C3              RETN
========================
稍微看了看, 不晓得对你有没有帮助,
不会脱壳 胡言乱语的 见谅
2011-1-7 17:29
0
雪    币: 742
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
所以说学习要循序渐进,先找软柿子捏啊
2011-1-8 09:19
0
雪    币: 220
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
非常感谢进来看帖和上面回复的朋友,占用了你们的时间,不好意思。
你们的帮助不论多少,都是有益的,相比之下,说话用词如何其实都因此显得无所谓了。
回头我再去看看。

今天用OLLY加载这个LIC.DLL,Shift+f9 11次后Alt+M在这个LIC的code区块设断点,再次Shift+F9,停在8c1000处,这时用UltraStringReference插件可以搜索到:
Ultra String Reference
Address    Disassembly                               Text String
008C1000   sub     esp, 8                            (initial cpu selection)
008C1110   push    008C501C                          remotedlg
008C1190   push    008C5028                          passworddlg
008C1219   push    008C5034                          removelic
008C1299   push    008C5040                          transferlic
008C1335   push    008C507C                          %s is missing!?
008C1363   push    008C5068                          %s resource error!?
008C138D   push    008C504C                          %s resource loading error!?
008C148B   push    008C508C                          %08x-%08x-%08x-%08x
008C164F   push    008C50A0                          %08x
008C1E09   push    008C50A8                          n/a
008C1E43   push    008C50A8                          n/a
008C27DC   push    008C50A0                          %08x
008C281B   push    008C50AC                          %04x-%04x-%04x-%04x
008C283A   push    008C50A0                          %08x
008C2879   push    008C50AC                          %04x-%04x-%04x-%04x
008C2912   push    008C50A8                          n/a
008C2A19   push    008C5168                          %sitecode%
008C2A3D   push    008C515C                          %midcode%
008C2A61   push    008C514C                          %nextsitecode%
008C2A85   push    008C513C                          %nextmidcode%
008C2AB2   push    008C5130                          %appname%
008C2ADB   push    008C5124                          %username%
008C2B04   push    008C5114                          %useraddress%
008C2B30   push    008C5104                          %usercompany%
008C2B5C   push    008C50F4                          %usercustom1%
008C2B84   push    008C50E4                          %usercustom2%
008C2BAC   push    008C50D4                          %usercustom3%
008C2C01   mov     edi, 008C50C8                     %params:
008C2C24   push    008C50C0                          open
008C2D93   push    008C508C                          %08x-%08x-%08x-%08x
008C2F9F   mov     eax, 008C5174                     err!
008C2FD5   push    008C517C                          not enough memory!
008C30AE   push    008C5190                          tooltips_class32
-----
接下来就不知道该怎么做了. :(
而主程序如果直接用Olly加载,则2次Shift+F9后就会Terminate,无法继续调试.
现在没有思路了. :(
2011-1-8 21:59
0
雪    币: 220
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
重装了一次程序后,OLLY竟然可以加载运行了,好像是关闭杀软后才可以的.看来以后要用干净的系统调试程序的.呵呵.
今天的收获是,用OLLY 加载程序, Shift+F9 6次后已经进入这个LIC.DLL的解码部分,Alt+M可以看到LIC.DLL存在,在其代码段设置断点,再次shift+F9,停在解码后的lic.dll的入口处,这时注册解锁对话框的代码就都在下面了.
网上没有对这段内容的描述,就只好继续硬着头皮往下胡闯乱撞了. :(
2011-1-9 10:50
0
雪    币: 220
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
等下尝试输入序列号后,看看能不能到主程序OEP, 如果能就祈祷一下,看看能不能修复成功了。

似乎site CODE, MID文本框的属性可以动态的修改一下,这样不知道能不能用一个序列号欺骗其他不同功能模块的外壳检查?
2011-1-10 08:51
0
雪    币: 220
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
那个XXXLIC.DLL看来没啥用,检查逻辑不在里面.
不过有了序列号,遇到的这个PC GUARD的脱壳的确简单至极了.数着N次Shift+F9后进入程序后,再N-1次时,ALT+M,找到主程序的CODE段,F2,再次SHIFT+F9就停在程序入口处了.用OLLYDUMP保存,竟然直接用IMPORTREC一次重建IAT成功,没有一处是INVALID的.
2011-1-11 09:41
0
雪    币: 220
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
新手又遇到新问题了!

OLLY加载一个8M多的PC GUARD 加壳的程序到34%时,停顿住了.等半天都没有反应. 其他7M多的都没有问题,闪电加载进入.
请问这个问题是什么引起的,您碰到过吗? 如何解决?
2011-1-11 12:54
0
雪    币: 220
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
呵呵,我好笨. 加载时直接按空格终止解析,就可以了,反正加壳的时候解析也解析不出东西来,干吗要在那里等死呢.

打搅大家了.不好意思.
2011-1-11 13:00
0
雪    币: 107
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
新手又碰到新问题:跨平台问题
脱壳是在XP下进行的,运行良好.但在WIN7 X64下却报告"无法定位序数321 于动态链接库 advapi32.dll上"

------------------
这个问题终于解决了,原来是用ImportRec时,在选项的左上角第一个选择框不要选上,就可以了.
2011-1-11 15:39
0
雪    币: 107
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
今天又遇到新问题了!
程序一共有8个EXE是加壳的,都可以用相同的步骤脱壳和修复。但只有主程序在WIN7 X64系统上运行退出时会报告有错误发生(在原脱壳平台XP上不报告错误),虽然这并不怎么影响使用,但肯定还是有问题的。
在WIN7X64系统上用OLLY加载脱壳后的主程序时,会先报告2次在NTDLL.DLL发生错误,而后停留在主程序入口处。此时,主程序入口处的原来的 CALL 却变成了 JMP到另外一个地址的指令。而使用HIEW32打开磁盘上的文件,找到入口处的代码却依然是原来的CALL。这是怎么回事?
2011-1-12 10:13
0
游客
登录 | 注册 方可回帖
返回
//