首页
社区
课程
招聘
[求助]崩溃了,真心求帮助
发表于: 2013-2-25 22:08 5447

[求助]崩溃了,真心求帮助

2013-2-25 22:08
5447
搞了几个月了,求大家来帮我分析一下,要不要继续搞下去

一:伪脱壳

        一般的od是打不开的, 使用ollyIce可以, 不过仅限于xp系统下.载入跑起来提示'a debugger has been found in your system, balabala ..'.
        分析区段 有 text data rdata  tls upx10,但是仅有 upx10是有数据的
        知道这个壳是用的虚拟机,具体是什么偶不太清楚,随便什么啦
        vhandle(ecx) 有60个 , vcode(esi)呢不是固定的, 最厉害的地方是后一个vcode的真实值 是由 byte ptr esi 以及 前一个值一块计算得出来的.牵一发而动全身,所以简单的patch 某个vcode是行不通的.
        当然也有垃圾的地方, vjmp 只对应一个 handle,没有vjcc, 虚拟机的流程还是比较好分析的.

        光常用的断点检测就达500多处,多数函数偶从来都没用过 .内存校验也有56处,文件校验共有4处 ,
        偷取的代码也是虚拟码,在这里偶没有具体分析,执行完偷取代码之后呢,仍然是内存校验,至于 anti就不怎么多了,常用的那几个....
        另外要说的是 vcode里面也全部是垃圾代码, 你能想像连续 600多页的代码分析完之后就是一行 strcpy()的感觉吗 ?

        大哥,偶这是第一次搞破解啊,不带这样玩的啊

        外壳存在硬件断点检测,不过是用原生汇编实现的,虚拟机内的检测用硬断, 检测硬断的时候偶就用软断.总之, 是成功在od里面跑起来了
        估计外壳不好脱,有些个虚拟机的处理好像是和引入外部函数相关的,估计这个程序根本没有输入表这种东西.偶越来越相信这个东西是使用的sdk
        不过偶没想着脱壳,偶只要把自己的注册代码放进去,再修改文件校验值就好了.

二:调试

        进入调试之后, 刚刚脱壳后的喜悦则一扫而光,单纯用消息断点把这个按钮的处理函数找到都费了大半天,

        发包及回来的包,有固定的字段,也有变化的,最初感觉就该是用当前的系统时间做为作为的密钥,后来发现不是,也没搞清楚是怎么来的

        关键的解密部分其实是用原生汇编实现的,虚拟机反而都是些垃圾. 不过,大量的代码混淆,和垃圾代码,陷阱很多,(很明显的有一些不和谐的字串)

        水平所限,尤其是算法这一块对自己没有信心,目前已经要把耐心耗没了.来求大神给个思路,能不能继续搞下去.
        或者,有实力的可以联系我,把这个半成品出掉,什么行情给参考一下...

下面是地址, 这样不算违规吧

68 74 74 70 3A 2F 2F 64 6F 77 6E 32 2E 35 32 73 67 2E 6E 65 74 3A 39 39 38 38 2F 33 67 62 62 5F 31 32 30 38 31 34 2E 65 78 65 00

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 143
活跃值: (263)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
2
9981难啊,有木有
2013-2-25 22:16
0
雪    币: 222
活跃值: (241)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yys
3
高手来帮助解决下,也想知道 的。
2013-2-25 22:27
0
雪    币: 952
活跃值: (1821)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
。。有没有bin看看?
2013-2-25 23:41
0
雪    币: 143
活跃值: (263)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
5
地址其实是有的,限于版规,不能在这里说,对吧! 有实力联系偶qq
2013-2-26 08:51
0
雪    币: 952
活跃值: (1821)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
是vmprotect
正好论坛有插件可以玩玩
2013-2-27 12:22
0
雪    币: 143
活跃值: (263)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
7
原来这就是vmp啊,不过就在昨天就在已经直接提示新版本了
目前分析到返回的验证消息包括3段,第一段是新版本提示(字符串),第二段包括通知证账号信息,第三段包括帐号到期时间什么的,还不知道随机的密钥是哪个?
2013-2-27 16:39
0
游客
登录 | 注册 方可回帖
返回
//