-
-
[分享]不断的调试与失败
-
发表于: 2011-8-11 17:13
-
最近生活破不宁静,一下是去参加朋友婚礼,一下是去考驾照,一下是忙自己的婚事,人都要疯了,几天没睡几个小时,这段时间又在研究DDOS啊什么的,这个文章就耽搁了很久,今天好不容易有时间,就过来把第二篇写完了,凡事有始有终吧。呵呵
好吧,开始
回顾上次分析出来的线索,从这些线索一个个入手,看能得到什么新的进展,虽然失败在所难免,但是在坚持的过程中,总能得到许多。
一 、ollydbg不能正常运行调试.net程序
这个问题,后来在网上搜索了一下,有很多文章,但是就是没介绍这个的,后来在GOOGLE和BAIDU上面搜索,什么也没得到,后台还是在看雪找到了一篇文章,.NET Reactor 通用脱法总结,根据这里面介绍,其实用Shit+F9 就能让抛出异常的.net程序继续在od里面调试于是我就跟着做了。
于是乎就到了如下界面
这也就是程序正常调试运行了,接着文章里说的做
Alt+M 打开内存镜像,Ctrl+B 搜索UNICODE字符 --> “Kurapica UnpackME #1”
但是我什么也没找到,我就习惯性的把搜索的关键字缩短,搜索 "Kurapica",
途中会遇到如下图的对话框
都可以按确认键继续往下找,最终还是没找到。哎~
于是又到网上找,这次不是看雪了,在GOOGLE和百度上找到了一篇文章
一个简单的.NET程序的脱壳以及破解
这里面介绍的两种方法,只在后面一种找到了一丝痕迹
里面搜索的关键字是“Sample Crackme”,还是没找到,我又习惯的缩短一个关键字,搜索“Sample”,结果黄天不负苦心人,还是蹦出了一个对话框,心里小兴奋来一下
但是自己一看,里面的UNICODE并没有出现完整的 “Sample Crackme”,我也按照文章说的拉上去一看。
又是失望,根本没有MZ这样PE的开头字样,看样子这条路到这也就断了,至少以我现在的水平搞定不了,果断放弃。
二 反编译失败,名称混淆,还有我在论坛发的帖子,有位大牛说是加了Reactor壳,经过这么多的尝试也能知道这个版本肯定是最新版,不是那么容易了。
于是我把线索4中的报错关键字“Invalid number of data directories in NT header.”一搜索,还是找到了许多方法,于是又兴奋起来。
首先打开 CFF Explorer ,把目标程序拖拽进去
选择左边的树节点
Optional Hander
注意看:右边表格里面最下面一行 NumberOfRvaAndSizes 这个值是 0000000F(你们的程序可能不是这么多),直接吧这个改成00000010,然后保存
再把改好的软件拖动到reflector中一看,之前的错误没了,但是新错误来了 “contains zero or multiple module definitions.
”
看样子又的继续改
这个信息其实是说明tables表中的module模块有问题,然后我们选择左边的Tables
然后再看右边
第一个module有两个,根据.NET的官方定义,这个一般只有1个所以,我们现在要做的就是把这个改成一个。
----------------------------------------------------
暂时发到这,下次来修改,公司突然有事了
好吧,开始
回顾上次分析出来的线索,从这些线索一个个入手,看能得到什么新的进展,虽然失败在所难免,但是在坚持的过程中,总能得到许多。
一 、ollydbg不能正常运行调试.net程序
这个问题,后来在网上搜索了一下,有很多文章,但是就是没介绍这个的,后来在GOOGLE和BAIDU上面搜索,什么也没得到,后台还是在看雪找到了一篇文章,.NET Reactor 通用脱法总结,根据这里面介绍,其实用Shit+F9 就能让抛出异常的.net程序继续在od里面调试于是我就跟着做了。
于是乎就到了如下界面
这也就是程序正常调试运行了,接着文章里说的做
Alt+M 打开内存镜像,Ctrl+B 搜索UNICODE字符 --> “Kurapica UnpackME #1”
但是我什么也没找到,我就习惯性的把搜索的关键字缩短,搜索 "Kurapica",
途中会遇到如下图的对话框
都可以按确认键继续往下找,最终还是没找到。哎~
于是又到网上找,这次不是看雪了,在GOOGLE和百度上找到了一篇文章
一个简单的.NET程序的脱壳以及破解
这里面介绍的两种方法,只在后面一种找到了一丝痕迹
里面搜索的关键字是“Sample Crackme”,还是没找到,我又习惯的缩短一个关键字,搜索“Sample”,结果黄天不负苦心人,还是蹦出了一个对话框,心里小兴奋来一下
但是自己一看,里面的UNICODE并没有出现完整的 “Sample Crackme”,我也按照文章说的拉上去一看。
又是失望,根本没有MZ这样PE的开头字样,看样子这条路到这也就断了,至少以我现在的水平搞定不了,果断放弃。
二 反编译失败,名称混淆,还有我在论坛发的帖子,有位大牛说是加了Reactor壳,经过这么多的尝试也能知道这个版本肯定是最新版,不是那么容易了。
于是我把线索4中的报错关键字“Invalid number of data directories in NT header.”一搜索,还是找到了许多方法,于是又兴奋起来。
首先打开 CFF Explorer ,把目标程序拖拽进去
选择左边的树节点
Optional Hander
注意看:右边表格里面最下面一行 NumberOfRvaAndSizes 这个值是 0000000F(你们的程序可能不是这么多),直接吧这个改成00000010,然后保存
再把改好的软件拖动到reflector中一看,之前的错误没了,但是新错误来了 “contains zero or multiple module definitions.
”
看样子又的继续改
这个信息其实是说明tables表中的module模块有问题,然后我们选择左边的Tables
然后再看右边
第一个module有两个,根据.NET的官方定义,这个一般只有1个所以,我们现在要做的就是把这个改成一个。
----------------------------------------------------
暂时发到这,下次来修改,公司突然有事了
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
