小弟我今天入手狂牛最新版本的加密视频,发现许多问题:
首先OD载入了一下,
00411BA0 837C24 08 01 cmp dword ptr ss:[esp+0x8],0x1 ; (Initial CPU selection)
00411BA5 0F85 8F000000 jnz 1_绪论(1.00411C3A
00411BAB 90 nop
00411BAC 90 nop
00411BAD 90 nop
00411BAE 90 nop
00411BAF 90 nop
00411BB0 90 nop
00411BB1 90 nop
00411BB2 90 nop
00411BB3 90 nop
00411BB4 90 nop
00411BB5 90 nop
00411BB6 90 nop
00411BB7 90 nop
00411BB8 90 nop
00411BB9 90 nop
查看了下字符串
超级字串参考, 条目 85
地址=0041DE41
反汇编=push 1_绪论(1.004DD928
文本字串=密码验证失败 ,请检查输入的密码前后是否有回车空格或其他干扰字符!
试着跳了几下
004037B4 E8 88510000 call 1_绪论(1.00408941
004037B9 E8 CD460000 call 1_绪论(1.00407E8B
004037BE E9 79470000 jmp 1_绪论(1.00407F3C
004037C3 E8 017D0000 call 1_绪论(1.0040B4C9
004037C8 E9 378D0000 jmp 1_绪论(1.0040C504
004037CD 8B4C24 78 mov ecx,dword ptr ss:[esp+0x78]
发现两个邻近的JMP,不知道有没有用处
第一个跳到了如下
00407F3C 57 push edi
00407F3D 9C pushfd
00407F3E FF35 E9754000 push dword ptr ds:[0x4075E9]
00407F44 8F4424 4C pop dword ptr ss:[esp+0x4C]
00407F48 FF3424 push dword ptr ss:[esp]
00407F4B C74424 4C 00000>mov dword ptr ss:[esp+0x4C],0x0
00407F53 895424 04 mov dword ptr ss:[esp+0x4],edx
00407F57 8D6424 4C lea esp,dword ptr ss:[esp+0x4C]
00407F5B ^ E9 F8F6FFFF jmp 1_绪论(1.00407658
00407F60 E8 02FBFFFF call 1_绪论(1.00407A67
00407F65 E8 D9190000 call 1_绪论(1.00409943
00407F6A 66:891C24 mov word ptr ss:[esp],bx
00407F6E C64424 0C 8A mov byte ptr ss:[esp+0xC],0x8A
00407F73 896C24 3C mov dword ptr ss:[esp+0x3C],ebp
00407F77 FF3424 push dword ptr ss:[esp]
继续研究中…………
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)