首页
社区
课程
招聘
[求助]脱壳后,用OD无法调试程序,请教!
发表于: 2015-6-14 17:31 7086

[求助]脱壳后,用OD无法调试程序,请教!

2015-6-14 17:31
7086

请教各位大牛一个问题,附件中为要脱壳文件。
附件中文件用PEID检测显示为:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

我用了两种办法来脱壳,第一种办法是用OLLYDUMP,找到OEP为:004018AC;第二种办法是用工具File Scanner,fs -u 文件名来脱壳。

两种办法脱壳后文件都能够正常运行,可是因为文件为非正式版本,就想用OD来破解此文件,但是在调试过程中一是报告OEP在代码段外,二是无法正常下断点,三是在调试一会之后总是无法继续,程序停止运行。

实在不解,请各位大牛指教!
谢谢!


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 3
支持
分享
最新回复 (5)
雪    币: 292
活跃值: (820)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
应该是脱壳后需要修复一下输入表吧,就是修复一下IAT
2015-6-14 18:45
0
雪    币: 20
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
MagicISO.rar
善用工具。只是个UPX变形的壳对IAT进行了处理。
上传的附件:
2015-6-14 21:22
0
雪    币: 627
活跃值: (663)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
4
看了下,软件是几年前的。但小巧适用,功能也多。

脱壳
用我那个脚本“UPX完美脱壳脚本”就脱掉了,调试分析都没有问题。

注册算法
略显粗糙,简单地将用户名做一个RSA加密,再将加密结果编码为Base64,形成注册码。
不过这个Base64不是符合RFC 1521标准规范的字符集和序列。
所以会有黑名单比对,大概有几十个。

附件是替换RSA密钥后的主程序。从官方网站下载 Setup_MagicISO.exe 安装后,用附件的覆盖就可以用了。

[FONT="Courier"][COLOR="DarkOrange"]RegUserName[/COLOR]:  bbs.pediy.com
[COLOR="DarkOrange"]RegSerialKey[/COLOR]: uzNLn6Zx7SASnBeq6Kovz7y4EncRw5SyBFbi52ocMss9VkKq469AANRjD&PXwPkXqpgOW_rF5sIY9QamQWS&Bgiz2CfdF3McUVM0j9IsIiMVY1lfQ1HL9nCjeTF1wjwzwtpcDSuRLLzv7uydUDtBB_otQSZqaRt_79__uOX5Xa8[/FONT]


上传的附件:
2015-6-17 11:41
0
雪    币: 75
活跃值: (105)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
我找算法找了很久了,怎么还没找到啊!你怎么找到的!
函数嵌套太多了!我设法对用户名和序列号进行hardware breakpoints,但是很奇怪,还是没跟踪到,你能告诉我下吗?
2015-6-18 12:38
0
雪    币: 75
活跃值: (105)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
我找算法找了很久了,怎么还没找到啊!你怎么找到的!
函数嵌套太多了!我设法对用户名和序列号进行hardware breakpoints,但是很奇怪,还是没跟踪到,你能告诉我下吗?
2015-6-18 12:39
0
游客
登录 | 注册 方可回帖
返回
//