新手求教，没壳没加密，用OD查不到关键字符-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 新手求教，没壳没加密，用OD查不到关键字符 0.00雪花

发表于: 2012-2-2 16:29 13499

[旧帖] 新手求教，没壳没加密，用OD查不到关键字符 0.00雪花

疯已伤

2012-2-2 16:29

13499

用PEID查了  Microsoft Visual C++ 6.0
确实没加密加壳
但是用OD查找关键字符，找不到：注册失败的字符
试试了用W32dsm也没找到
刚学  求大婶指导  是什么原因
或者指几条思路

7C92E4F9 54             push esp
7C92E4FA E8 29000000    call ntdll.RtlRaiseException
7C92E4FF 8B0424       mov eax,dword ptr ss:[esp]
7C92E502 8BE5          mov esp,ebp
7C92E504 5D             pop ebp
7C92E505 C3             retn
7C92E506 8DA424 00000000 lea esp,dword ptr ss:[esp]
7C92E50D 8D49 00       lea ecx,dword ptr ds:[ecx]
7C92E510 >  8BD4          mov edx,esp
7C92E512 0F34          sysenter
7C92E514 >  C3             retn
7C92E515 8DA424 00000000 lea esp,dword ptr ss:[esp]
7C92E51C 8D6424 00    lea esp,dword ptr ss:[esp]
7C92E520 >  8D5424 08    lea edx,dword ptr ss:[esp+8]
7C92E524 CD 2E          int 2E
7C92E526 C3             retn
7C92E527 90             nop
7C92E528 >  55             push ebp
7C92E529 8BEC          mov ebp,esp
7C92E52B 9C             pushfd
7C92E52C 81EC D0020000 sub esp,2D0
7C92E532 8985 DCFDFFFF mov dword ptr ss:[ebp-224],eax
7C92E538 898D D8FDFFFF mov dword ptr ss:[ebp-228],ecx

这是用F12法暂停以后的问题是它没返回到程序领域

下面是堆栈情况
调用堆栈
地址    堆栈    函数例程 / 参数                                                             调用来自                   框架
000FD174 77D191BE 包含 ntdll.KiFastSystemCallRet                                              USER32.77D191BC             000FD198
000FD178 77D2776B USER32.77D191B2                                                             USER32.77D27766             000FD198
000FD19C 73D31203 USER32.GetMessageA                                                          MFC42.73D311FD             000FD198
000FD1A0 0052B38C    pMsg = 【涵涵】.0052B38C
000FD1A4 00000000    hWnd = NULL
000FD1A8 00000000    MsgFilterMin = 0
000FD1AC 00000000    MsgFilterMax = 0
000FD1B8 73D455B1 包含 MFC42.73D31203                                                          MFC42.73D455AE
000FD1DC 73D4544B MFC42.#5718                                                                MFC42.73D45446
000FD218 0045D0F2 ? <jmp.&MFC42.#2514>                                                       【涵涵】.0045D0ED
000FD29C 0045D082 【涵涵】.0045D0B0                                                             【涵涵】.0045D07D                000FF3CC
000FD2B8 0041CD62 【涵涵】.0045D030                                                             【涵涵】.0041CD5D                000FF3CC
000FF3D0 73D31FAE 包含【涵涵】.0041CD62                                                          MFC42.73D31FAC             000FF3CC
000FF450 73D31B07 包含 MFC42.73D31FAE                                                          MFC42.73D31B01             000FF44C
000FF470 73D31A78 包含 MFC42.73D31B07                                                          MFC42.73D31A72             000FF46C
000FF4D0 73D319D0 MFC42.#1109                                                                MFC42.73D319CB             000FF4CC
000FF4F0 73DBE47C MFC42.#1578                                                                MFC42.73DBE477             000FF4EC
000FF4F4 005D07DE    Arg1 = 005D07DE
000FF4F8 000005F4    Arg2 = 000005F4
000FF4FC FFFFFFFF    Arg3 = FFFFFFFF
000FF500 00000001    Arg4 = 00000001
000FF51C 77D18734 包含 MFC42.73DBE47C                                                          USER32.77D18731             000FF518
000FF548 77D18816 ? USER32.77D1870C                                                          USER32.77D18811             000FF544
000FF5B0 77D189CD USER32.77D1875F                                                             USER32.77D189C8             000FF5AC
000FF5B4 00000000    Arg1 = 00000000
000FF5B8 73DBE443    Arg2 = 73DBE443
000FF5BC 005D07DE    Arg3 = 005D07DE
000FF5C0 000005F4    Arg4 = 000005F4
000FF5C4 FFFFFFFF    Arg5 = FFFFFFFF
000FF5C8 00000001    Arg6 = 00000001
000FF5CC 00C6E16C    Arg7 = 00C6E16C
000FF5D0 00000001    Arg8 = 00000001
000FF610 77D196C7 ? USER32.77D188F1                                                          USER32.77D196C2             000FF60C
000FF620 73D3122A ? USER32.DispatchMessageA                                                 MFC42.73D31224             000FF61C
000FF624 0052B38C    pMsg = WM_HOTKEY hw = 5D07DE ("【涵涵】演义三国辅助svn90") ID = 8002

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

【涵涵】svn90.part1.rar （1.91MB，12次下载）
【涵涵】svn90.part2.rar （1.91MB，11次下载）
【涵涵】svn90.part3.rar （1.91MB，43次下载）
【涵涵】svn90.part4.rar （352.17kb，28次下载）

收藏・0

免费・0

支持

最新回复 (11)
胡雪岩雪币： 1363 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	胡雪岩 2 楼试一下，使用F12暂停法，然后查找堆栈，找到关键位置。如果只是显示字符，试一下直接暂停函数。我也是菜鸟，我的问题还没人解答呢，看到你的了。。 2012-2-2 16:32 0
sdnyzjzx 雪币： 41 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 63 粉丝 0 关注私信	sdnyzjzx 3 楼用API下断，没有软件，具体不好说。 2012-2-2 16:33 0
疯已伤雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	疯已伤 4 楼 F12法好像也不行啊 2012-2-2 18:18 0
胡雪岩雪币： 1363 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	胡雪岩 5 楼 ,应该是易语言写的，这样解释查不出来字符串比较合理。可以使用F12堆栈调用法，多测试几个函数，Ctrl+F9 一直返回到程序代码空间，你把程序发出来，我调试看看。 2012-2-2 18:42 0
疯已伤雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	疯已伤 6 楼传了半天终于传好了 2012-2-2 19:30 0
胡雪岩雪币： 1363 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	胡雪岩 7 楼 ,调试了一下，没有分析出来~~~ 2012-2-3 10:40 0
疯已伤雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	疯已伤 8 楼 0041C8A0 . 50 push eax 0041C8A1 . B8 F4200000 mov eax,20F4 0041C8A6 . 64:8925 00000>mov dword ptr fs:[0],esp 0041C8AD . E8 1E380000 call 【涵涵】.004200D0 0041C8B2 . 53 push ebx 0041C8B3 . 56 push esi 0041C8B4 . 8BF1 mov esi,ecx 0041C8B6 . 57 push edi 0041C8B7 . 8D4D F0 lea ecx,dword ptr ss:[ebp-10] 0041C8BA . E8 492E0000 call <jmp.&MFC42.#540> 0041C8BF . 33DB xor ebx,ebx 0041C8C1 . 895D FC mov dword ptr ss:[ebp-4],ebx 0041C8C4 . 68 9FC9B4A8 push A8B4C99F 0041C8C9 . E8 0E4D0500 call 【涵涵】.004715DC ; 出现注册失败信息 0041C8CE > 4E dec esi 找到了出现注册失败的CALL，可是前面没关键跳什么的，前面几个call进去也没找到有用的 2012-2-3 23:10 0
houkun 雪币： 355 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 122 粉丝 0 关注私信	houkun 9 楼应该是易语言写的，脱下壳，网站上有工具 2012-2-4 09:47 0
疯已伤雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	疯已伤 10 楼看了下区段里面有 mmc0 和 mmc1这两个区段这是不是经过VMP啊 2012-2-5 21:41 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 11 楼你没有把软件放出来，不知道是什么东东。 2012-2-8 21:34 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 12 楼没有加壳，是C++的，你可以先下网页函数后再看看。 2012-2-8 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

疯已伤

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
胡雪岩雪币： 1363 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	胡雪岩 2 楼试一下，使用F12暂停法，然后查找堆栈，找到关键位置。如果只是显示字符，试一下直接暂停函数。我也是菜鸟，我的问题还没人解答呢，看到你的了。。 2012-2-2 16:32 0
sdnyzjzx 雪币： 41 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 63 粉丝 0 关注私信	sdnyzjzx 3 楼用API下断，没有软件，具体不好说。 2012-2-2 16:33 0
疯已伤雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	疯已伤 4 楼 F12法好像也不行啊 2012-2-2 18:18 0
胡雪岩雪币： 1363 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	胡雪岩 5 楼 ,应该是易语言写的，这样解释查不出来字符串比较合理。可以使用F12堆栈调用法，多测试几个函数，Ctrl+F9 一直返回到程序代码空间，你把程序发出来，我调试看看。 2012-2-2 18:42 0
疯已伤雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	疯已伤 6 楼传了半天终于传好了 2012-2-2 19:30 0
胡雪岩雪币： 1363 活跃值： (139) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	胡雪岩 7 楼 ,调试了一下，没有分析出来~~~ 2012-2-3 10:40 0
疯已伤雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	疯已伤 8 楼 0041C8A0 . 50 push eax 0041C8A1 . B8 F4200000 mov eax,20F4 0041C8A6 . 64:8925 00000>mov dword ptr fs:[0],esp 0041C8AD . E8 1E380000 call 【涵涵】.004200D0 0041C8B2 . 53 push ebx 0041C8B3 . 56 push esi 0041C8B4 . 8BF1 mov esi,ecx 0041C8B6 . 57 push edi 0041C8B7 . 8D4D F0 lea ecx,dword ptr ss:[ebp-10] 0041C8BA . E8 492E0000 call <jmp.&MFC42.#540> 0041C8BF . 33DB xor ebx,ebx 0041C8C1 . 895D FC mov dword ptr ss:[ebp-4],ebx 0041C8C4 . 68 9FC9B4A8 push A8B4C99F 0041C8C9 . E8 0E4D0500 call 【涵涵】.004715DC ; 出现注册失败信息 0041C8CE > 4E dec esi 找到了出现注册失败的CALL，可是前面没关键跳什么的，前面几个call进去也没找到有用的 2012-2-3 23:10 0
houkun 雪币： 355 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 122 粉丝 0 关注私信	houkun 9 楼应该是易语言写的，脱下壳，网站上有工具 2012-2-4 09:47 0
疯已伤雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	疯已伤 10 楼看了下区段里面有 mmc0 和 mmc1这两个区段这是不是经过VMP啊 2012-2-5 21:41 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 11 楼你没有把软件放出来，不知道是什么东东。 2012-2-8 21:34 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 12 楼没有加壳，是C++的，你可以先下网页函数后再看看。 2012-2-8 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复