[求助]很多人都说破不了.无壳的小软件!-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]很多人都说破不了.无壳的小软件!

发表于: 2011-1-13 13:30 14419

[求助]很多人都说破不了.无壳的小软件!

swlubiao

2011-1-13 13:30

14419

软件下载地址: http://dl.dbank.com/c0s1toknj0

这个软件没有壳.但是载入OD后.F8走几下就,走不动了..郁闷..那位大牛给点思路!

载入OD如下

0040AD05 >/$ 55 push ebp
0040AD06 |. 8BEC mov ebp,esp
0040AD08 |. 6A FF push -0x1
0040AD0A |. 68 40B94200 push 软件加弹.0042B940
0040AD0F |. 68 909F4000 push 软件加弹.00409F90 ; SE 处理程序安装
0040AD14 |. 64:A1 0000000>mov eax,dword ptr fs:[0]
0040AD1A |. 50 push eax
0040AD1B |. 64:8925 00000>mov dword ptr fs:[0],esp
0040AD22 |. 83EC 58 sub esp,0x58
0040AD25 |. 53 push ebx
0040AD26 |. 56 push esi
0040AD27 |. 57 push edi
0040AD28 |. 8965 E8 mov [local.6],esp
0040AD2B |. FF15 28924200 call dword ptr ds:[<&KERNEL32.GetVersion>; kernel32.GetVersion
0040AD31 |. 33D2 xor edx,edx
0040AD33 |. 8AD4 mov dl,ah
0040AD35 |. 8915 F0A54300 mov dword ptr ds:[0x43A5F0],edx
0040AD3B |. 8BC8 mov ecx,eax
0040AD3D |. 81E1 FF000000 and ecx,0xFF
0040AD43 |. 890D ECA54300 mov dword ptr ds:[0x43A5EC],ecx
0040AD49 |. C1E1 08 shl ecx,0x8
0040AD4C |. 03CA add ecx,edx
0040AD4E |. 890D E8A54300 mov dword ptr ds:[0x43A5E8],ecx
0040AD54 |. C1E8 10 shr eax,0x10
0040AD57 |. A3 E4A54300 mov dword ptr ds:[0x43A5E4],eax
0040AD5C |. 6A 01 push 0x1
0040AD5E |. E8 AE4A0000 call 软件加弹.0040F811
0040AD63 |. 59 pop ecx
0040AD64 |. 85C0 test eax,eax
0040AD66 75 08 jnz short 软件加弹.0040AD70
0040AD68 |. 6A 1C push 0x1C
0040AD6A |. E8 C3000000 call 软件加弹.0040AE32
0040AD6F |. 59 pop ecx
0040AD70 |> E8 172E0000 call 软件加弹.0040DB8C
0040AD75 |. 85C0 test eax,eax
0040AD77 75 08 jnz short 软件加弹.0040AD81
0040AD79 |. 6A 10 push 0x10
0040AD7B |. E8 B2000000 call 软件加弹.0040AE32
0040AD80 |. 59 pop ecx
0040AD81 |> 33F6 xor esi,esi
0040AD83 |. 8975 FC mov [local.1],esi
0040AD86 |. E8 55470000 call 软件加弹.0040F4E0
0040AD8B |. FF15 D0904200 call dword ptr ds:[<&KERNEL32.GetCommand>; [GetCommandLineA
0040AD91 |. A3 A8C14300 mov dword ptr ds:[0x43C1A8],eax
0040AD96 |. E8 13460000 call 软件加弹.0040F3AE
0040AD9B |. A3 48A64300 mov dword ptr ds:[0x43A648],eax
0040ADA0 |. E8 BC430000 call 软件加弹.0040F161
0040ADA5 |. E8 FE420000 call 软件加弹.0040F0A8
0040ADAA |. E8 5EF6FFFF call 软件加弹.0040A40D 在这里这个call直接跳到下面

7C92E480 8B1C24 mov ebx,dword ptr ss:[esp]
7C92E483 51 push ecx
7C92E484 53 push ebx
7C92E485 E8 B35A0200 call ntdll.7C953F3D
7C92E48A 0AC0 or al,al
7C92E48C 74 0C je short ntdll.7C92E49A
7C92E48E 5B pop ebx
7C92E48F 59 pop ecx
7C92E490 6A 00 push 0x0
7C92E492 51 push ecx
7C92E493 E8 C6EBFFFF call ntdll.ZwContinue
7C92E498 EB 0B jmp short ntdll.7C92E4A5
7C92E49A 5B pop ebx
7C92E49B 59 pop ecx
7C92E49C 6A 00 push 0x0
7C92E49E 51 push ecx
7C92E49F 53 push ebx
7C92E4A0 E8 09F5FFFF call ntdll.ZwRaiseException 在这个Call直接跳到下面的
00401032 CD20 8BC65EC3 vxdjump 0xC35EC68B 这里了/就走不动了!

0040100E 90 nop
0040100F 90 nop
00401010 > 56 push esi
00401011 . 8BF1 mov esi,ecx
00401013 . 6A 00 push 0x0
00401015 . E8 18290200 call 软件加弹.00423932
0040101A . C706 78954200 mov dword ptr ds:[esi],软件加弹.00429578
00401020 . 64:A1 3000000>mov eax,dword ptr fs:[0x30]
00401026 . 8B40 68 mov eax,dword ptr ds:[eax+0x68]
00401029 . 83E0 70 and eax,0x70
0040102C . 85C0 test eax,eax
0040102E . 75 02 jnz short 软件加弹.00401032
00401030 . EB 02 jmp short 软件加弹.00401034
00401032 CD20 8BC65EC3 vxdjump 0xC35EC68B

这个软件是把主程序释放到系统临时文件夹运行的.重启验证.那位大牛看看.该有什么方法破解..我试过了.F8,F7都不行.

[课程]Linux pwn 探索篇！

收藏・0

免费・1

支持

最新回复 (29) 1 2 ▶
sxjzzpq 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	sxjzzpq 2 楼用od跟踪下看看查找字符串试试~~ 2011-1-13 13:46 0
swlubiao 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	swlubiao 3 楼找了没有用啊! 2011-1-13 14:15 0
bbyl 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 82 粉丝 0 关注私信	bbyl 4 楼网络验证啦！呵呵！数据没有加密。 2011-1-13 14:47 0
leew 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 39 粉丝 0 关注私信	leew 5 楼楼上这位，网络验证，有没有办法，做一次欺骗，破除15次限制 2011-1-14 14:22 0
雨耕山雪币： 334 活跃值： (70) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 185 粉丝 1 关注私信	雨耕山 1 6 楼真长，拉的手痛 2011-1-14 15:48 0
ltqin 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	ltqin 7 楼感觉这个比较难，和外挂也不一样 2011-1-15 08:09 0
weigz 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	weigz 8 楼学习中............... 2011-1-15 10:53 0
ename 雪币： 15 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	ename 9 楼学习，好长啊，认真看看 2011-1-16 01:37 0
依旧爱雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	依旧爱 10 楼每天一帖查看钱数 2011-1-16 01:38 0
logkiller 雪币： 7905 活跃值： (3081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 776 粉丝 1 关注私信	logkiller 11 楼易语言写的么，你跑系统dll里单步当然是不行的，你根本是跟错地方 2011-1-16 18:52 0
帅哥飞雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 126 粉丝 0 关注私信	帅哥飞 12 楼应该是异常添加异常 2011-1-16 19:00 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 13 楼 0040ADAA \|. E8 5EF6FFFF call 软件加弹.0040A40D 在这里这个call直接跳到下面这个call里面有异常，都进到SEH里面了，楼主可以跟进去看看那里的异常，是否是用SEH反跟踪。 2011-1-16 19:17 0
nsso 雪币： 156 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 169 粉丝 0 关注私信	nsso 14 楼 LS...说得很有道理 2011-1-17 18:20 0
evolving 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	evolving 15 楼软件注册失败了也会返回一个messagebox信息，你尝试出入一串任意的string注册再搜索一下内存，在附近找找 2011-1-17 18:53 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 16 楼有程序嗎，發來給我看看。 2011-1-17 20:35 0
HereZhou 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	HereZhou 17 楼楼主把程序晒出来看看呢 2011-1-17 22:18 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 18 楼同13楼 0040ADAA \|. E8 5EF6FFFF call 软件加弹.0040A40D 在这里这个call直接跳到下面这里面出问题了，应该是结构化异常处理，跟进去看看就知道了…… 话说LZ的提问方式………F8走几下就,走不动了……难道不用F7么？ 2011-1-17 23:37 0
swlubiao 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	swlubiao 19 楼软件下载地址已上传! 2011-1-18 14:32 0
swlubiao 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	swlubiao 20 楼 F7也试了,,也是没用的! 2011-1-18 14:32 0
swlubiao 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	swlubiao 21 楼下载地址,补上了! 2011-1-18 14:33 0
xurihui 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	xurihui 22 楼每天一帖查看钱数 2011-1-18 19:23 0
gczh 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	gczh 23 楼好像是跟错地方了，不能单dll跟吧！新手！ 2011-1-18 19:29 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 24 楼我把它破解了，不過路徑問題還沒有解決，似乎只有在暫存的資料夾執行。結果我破解之後，就可以使用了...... crack.7z 真意外 = = 上传的附件： crack.7z （375.87kb，16次下载） 2011-1-18 20:03 0
fhbyuer 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	fhbyuer 25 楼运行后会在临时目录里产生个tempk.txt 这才是主程序, 改名1.exe要加个参数 cs 才能运行 2011-3-7 22:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

swlubiao

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
sxjzzpq 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	sxjzzpq 2 楼用od跟踪下看看查找字符串试试~~ 2011-1-13 13:46 0
swlubiao 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	swlubiao 3 楼找了没有用啊! 2011-1-13 14:15 0
bbyl 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 82 粉丝 0 关注私信	bbyl 4 楼网络验证啦！呵呵！数据没有加密。 2011-1-13 14:47 0
leew 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 39 粉丝 0 关注私信	leew 5 楼楼上这位，网络验证，有没有办法，做一次欺骗，破除15次限制 2011-1-14 14:22 0
雨耕山雪币： 334 活跃值： (70) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 185 粉丝 1 关注私信	雨耕山 1 6 楼真长，拉的手痛 2011-1-14 15:48 0
ltqin 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	ltqin 7 楼感觉这个比较难，和外挂也不一样 2011-1-15 08:09 0
weigz 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	weigz 8 楼学习中............... 2011-1-15 10:53 0
ename 雪币： 15 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	ename 9 楼学习，好长啊，认真看看 2011-1-16 01:37 0
依旧爱雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	依旧爱 10 楼每天一帖查看钱数 2011-1-16 01:38 0
logkiller 雪币： 7905 活跃值： (3081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 776 粉丝 1 关注私信	logkiller 11 楼易语言写的么，你跑系统dll里单步当然是不行的，你根本是跟错地方 2011-1-16 18:52 0
帅哥飞雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 126 粉丝 0 关注私信	帅哥飞 12 楼应该是异常添加异常 2011-1-16 19:00 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 13 楼 0040ADAA \|. E8 5EF6FFFF call 软件加弹.0040A40D 在这里这个call直接跳到下面这个call里面有异常，都进到SEH里面了，楼主可以跟进去看看那里的异常，是否是用SEH反跟踪。 2011-1-16 19:17 0
nsso 雪币： 156 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 169 粉丝 0 关注私信	nsso 14 楼 LS...说得很有道理 2011-1-17 18:20 0
evolving 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	evolving 15 楼软件注册失败了也会返回一个messagebox信息，你尝试出入一串任意的string注册再搜索一下内存，在附近找找 2011-1-17 18:53 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 16 楼有程序嗎，發來給我看看。 2011-1-17 20:35 0
HereZhou 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	HereZhou 17 楼楼主把程序晒出来看看呢 2011-1-17 22:18 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 18 楼同13楼 0040ADAA \|. E8 5EF6FFFF call 软件加弹.0040A40D 在这里这个call直接跳到下面这里面出问题了，应该是结构化异常处理，跟进去看看就知道了…… 话说LZ的提问方式………F8走几下就,走不动了……难道不用F7么？ 2011-1-17 23:37 0
swlubiao 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	swlubiao 19 楼软件下载地址已上传! 2011-1-18 14:32 0
swlubiao 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	swlubiao 20 楼 F7也试了,,也是没用的! 2011-1-18 14:32 0
swlubiao 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	swlubiao 21 楼下载地址,补上了! 2011-1-18 14:33 0
xurihui 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	xurihui 22 楼每天一帖查看钱数 2011-1-18 19:23 0
gczh 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	gczh 23 楼好像是跟错地方了，不能单dll跟吧！新手！ 2011-1-18 19:29 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 24 楼我把它破解了，不過路徑問題還沒有解決，似乎只有在暫存的資料夾執行。結果我破解之後，就可以使用了...... crack.7z 真意外 = = 上传的附件： crack.7z （375.87kb，16次下载） 2011-1-18 20:03 0
fhbyuer 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	fhbyuer 25 楼运行后会在临时目录里产生个tempk.txt 这才是主程序, 改名1.exe要加个参数 cs 才能运行 2011-3-7 22:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复