从同事花了10个Q币找人给他写了一个我们公司网站的微博系统的加粉小工具,看他用的蛮hi的,于是我很好奇,要过来想看看怎么写的,可是竟然还是机器码注册的,悲催的就只能他那一台电脑用。
我用pied查壳显示为:Microsoft Visual C# / Basic .NET [Overlay] 看样子应该是没有加壳的,从软件的图标看,使用的应该是VS开发工具,因为是微软VS默认的程序头标 三个小色块 呵呵,估计是用C#写的,于是就想用reflector导出源码来研究下,悲催的reflector根本打不开,但是用reflector打别的软件都可以,打开显示叹号,可是就是这个小软件死活不出现。
索性直接用OD来调试下试试,打开直接停到这里:(感觉不像文件头)
是不是加了伪装的Microsoft Visual C# / Basic .NET [Overlay] 壳?
如果说没加壳,那么通过OD查找字符串也应该可以查到,运行前提示“你未注册,请注册”,可是查不到……!?
----------------------------------------------
75DFD36F C9 leave
75DFD370 C2 1000 retn 10
75DFD373 8945 C0 mov dword ptr [ebp-40], eax
75DFD376 ^ EB ED jmp short 75DFD365
75DFD378 90 nop
75DFD379 90 nop
75DFD37A 90 nop
75DFD37B 90 nop
75DFD37C 90 nop
75DFD37D > FF15 6013DF75 call dword ptr [<&ntdll.NtYieldExecut>; ntdll.ZwYieldExecution
75DFD383 33C9 xor ecx, ecx
75DFD385 3D 24000040 cmp eax, 40000024
75DFD38A 0F95C1 setne cl
75DFD38D 8BC1 mov eax, ecx
75DFD38F C3 retn
75DFD390 6A 57 push 57
75DFD392 E8 30A1FFFF call 75DF74C7
75DFD397 33C0 xor eax, eax
75DFD399 ^ E9 81DBFFFF jmp 75DFAF1F
75DFD39E 834D E8 FF or dword ptr [ebp-18], FFFFFFFF
75DFD3A2 E9 34690000 jmp 75E03CDB
75DFD3A7 8945 14 mov dword ptr [ebp+14], eax
75DFD3AA E9 A6620000 jmp 75E03655
75DFD3AF 33C0 xor eax, eax
75DFD3B1 ^ E9 8494FFFF jmp 75DF683A
75DFD3B6 C745 08 0200000>mov dword ptr [ebp+8], 2
75DFD3BD ^ E9 69B7FFFF jmp 75DF8B2B
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)