[原创] 软件脱壳后去校验申请邀请码-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创] 软件脱壳后去校验申请邀请码 0.00雪花

发表于: 2011-4-6 13:16 1050

[旧帖] [原创] 软件脱壳后去校验申请邀请码 0.00雪花

xinsui

2011-4-6 13:16

1050

注册论坛一年多了，可还不是会员，在这里申请一个邀请码。谢谢
不多说看程序

程序名字 QQsend2011-65

查壳

一个UPX 直接用UPX 脱壳机就可以搞之定了。

载入OD后查看字符

在已经成为注册版那里双击进去

004012C0 .  C745 FC 00000>mov dword ptr ss:[ebp-0x4],0x0
004012C7 .  C745 F8 00000>mov dword ptr ss:[ebp-0x8],0x0
004012CE .  837D FC 00 cmp dword ptr ss:[ebp-0x4],0x0
004012D2 .  0F84 0F040000 je QQsend20.004016E7
004012D8 .  B8 3D2D5100 mov eax,QQsend20.00512D3D                         ;  您已成为正式版,注册码是唯一购买凭证,请务必保管好,如若丢失无法找回!如果觉得好用,请不要忘了推荐给您的好友哦!
004012DD .  50          push eax
004012DE .  8B5D F8    mov ebx,dword ptr ss:[ebp-0x8]
004012E1 .  85DB       test ebx,ebx
004012E3 .  74 09       je XQQsend20.004012EE 这里不能跳，跳过后提示已经升级。
所以把之这里给NOP掉。注意此时不能运行，否则重启电脑。

现在在OD里查看所有模块的名称。在里面找到 ExitWindowsEx 这个是关闭电脑的，所以在每个参考上下断，防止电脑重启。

在 0012FCC0 00401CA1  /CALL 到 ExitWindowsEx 来自 QQsend20.00401C9C
这里千万不要执行到用户代码，否则可能重启电脑，可以在反汇编中跟随，然后找到断首可以看到有两处调用的
断首 004019E5  /$  55          push ebp

来自本地调用来自 004016D8, 00426067
转到 004016D8可以看到
004016C9 .  83C4 04    add esp,0x4
004016CC >  6A 01       push 0x1
004016CE .  68 01000000 push 0x1
004016D3 .  68 01000000 push 0x1
004016D8 .  E8 08030000 call QQsend20.004019E5  调用关闭的，可以NOP掉

这样保存就可以去掉校验了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

未命名.jpg （48.54kb，74次下载）
1.jpg （125.89kb，74次下载）
2.jpg （30.60kb，69次下载）
3.jpg （137.39kb，74次下载）

收藏・0

免费

支持

最新回复 (1)
wancb 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	wancb 2 楼分析的很不错，回头我也试试，欢迎大家交流哦 2011-4-19 10:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xinsui

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
wancb 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	wancb 2 楼分析的很不错，回头我也试试，欢迎大家交流哦 2011-4-19 10:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [原创] 软件脱壳后去校验 申请邀请码 0.00雪花

账号登录 验证码登录

[旧帖] [原创] 软件脱壳后去校验申请邀请码 0.00雪花

账号登录

验证码登录