首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
社区
付费问答
发新帖
0
0
[旧帖]
[求助]新手,求助一个小程序的自校验
0.00雪花
发表于: 2012-1-22 12:32
1724
[旧帖]
[求助]新手,求助一个小程序的自校验
0.00雪花
丶wen
2012-1-22 12:32
1724
首先祝各位春节快乐
我是新手
正在学习,很多问题不太懂
说程序吧
似乎是双层壳
不过比较好脱
ESP脱壳后运行自动消失
应该是有校验
找了好几天没找到入手的地方
求高人指点一下哪里才是关键
不求破解,只求指点一下思路
程序附上
[课程]FART 脱壳王!加量不加价!FART作者讲授!
上传的附件:
田里游-仙人指路.part1.rar
(900.00kb,10次下载)
田里游-仙人指路.part2.rar
(710.71kb,10次下载)
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
11
)
丶wen
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
19
粉丝
0
关注
私信
丶wen
2
楼
为什么没有人回呢。。。
2012-1-22 19:48
0
丶wen
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
19
粉丝
0
关注
私信
丶wen
3
楼
高人们,你们在哪里,指点小弟一下吧。。。
2012-1-23 14:35
0
丶wen
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
19
粉丝
0
关注
私信
丶wen
4
楼
怎么办怎么办怎么办
2012-1-25 11:44
0
邋遢鬼
雪 币:
31
活跃值:
(43)
能力值:
( LV3,RANK:20 )
在线值:
发帖
19
回帖
527
粉丝
0
关注
私信
邋遢鬼
5
楼
问题是我不会呀。
2012-1-25 12:14
0
丶wen
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
19
粉丝
0
关注
私信
丶wen
6
楼
这玩意那么难呢么。。。
2012-1-25 13:11
0
purpleroc
雪 币:
329
活跃值:
(230)
能力值:
( LV13,RANK:320 )
在线值:
发帖
32
回帖
277
粉丝
0
关注
私信
purpleroc
6
7
楼
我在想,他是不是用易语言写的。脱壳之后显示为C++。通过一个判定,如果没找到主窗体的话,就显示错误。
2012-1-25 17:48
0
丶wen
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
19
粉丝
0
关注
私信
丶wen
8
楼
是个易语言程序
这个东西有早期的版本
虽然peid查都是aspack2.12的壳,但是脱壳时明显不一样
2012-1-25 18:13
0
丶wen
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
19
粉丝
0
关注
私信
丶wen
9
楼
而且我还想,他这东西是不是反调试
OD根本追不到程序里面,不脱壳的程序也是一闪而过
还是我经验不丰富,功力不深厚啊,没碰见过这样的东西,哎
2012-1-25 18:20
0
purpleroc
雪 币:
329
活跃值:
(230)
能力值:
( LV13,RANK:320 )
在线值:
发帖
32
回帖
277
粉丝
0
关注
私信
purpleroc
6
10
楼
其实,看了最近发的那个易语言写的Crackme的程序,发现,入口也是脱壳后的程序,
过年玩了几天,晚上突然想到这个问题,其实,他不是在运行之后要做的是,找一下所有句柄,如果没有发现主程序的窗口就提示错误么?
那么他的这个主程序的窗体又为什么会消失呢?
我联想到一个叫做destroywindows的api(字母的大小写我没写清楚哈)。然后进C32asm一看,还真有调用这么一个api。。。在这个之前有一个jnz的判定跳转,如果没有达到什么条件的话就销毁这个窗体。
我想这个就是那个程序的自校验。脱壳之后没能达到一个条件(没时间去追踪这个条件……
)
所以我们直接改这个jnz为jmp。之后发现能够运行了,不会再一闪而过。
有两个地方调用了destroywindows。自己去改吧
给你一个脱壳后的程序,后面的下次有时间在去追算法。
脱壳后
2012-1-28 21:26
0
丶wen
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
19
粉丝
0
关注
私信
丶wen
11
楼
脱掉了
004D345A /EB 10 jmp short a_a.004D346C
2012-1-29 08:41
0
hollice
雪 币:
22
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
52
粉丝
0
关注
私信
hollice
12
楼
学习了。大哥的这个才是经典的教程啊
2012-1-29 08:47
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
丶wen
4
发帖
19
回帖
10
RANK
关注
私信
他的文章
[求助]新手,求助一个小程序的自校验
1725
[求助]关于软件破解
1330
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
wangcl
supertyj
我是sld
丶wen
XGalaxy
purpleroc
谁下载
×
wangcl
supertyj
我是sld
丶wen
XGalaxy
purpleroc
看原图
赞赏
×
雪币:
+
留言:
快捷留言
返回
顶部