[讨论]TMPGEnc MPEG Editor1.3.2.98的分析(脱壳+自校验)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]TMPGEnc MPEG Editor1.3.2.98的分析(脱壳+自校验)

发表于: 2006-2-15 22:03 7073

[讨论]TMPGEnc MPEG Editor1.3.2.98的分析(脱壳+自校验)

fcrjzmd

2006-2-15 22:03

7073

前言：

   在看雪论坛里看到有悬赏100大洋破解“小日本” TMPGEnc MPEG Editor软件(当然我不是为了100大洋，只想尽自己能力试着分析下)要求破解在看雪是不被允许的请这类朋友尊重一下自己论坛的ID啦 ^_^!!,特下来试着调试一下，看看我自己这个菜鸟到底能把这个软件跟踪那一部份(想试下自己的功力呵呵。。其实我很菜!!请不要拍砖)

安装运行马上要输入注册码，否则不给用!。。只好郁闷退出了!用PEID查显示Nothing found [Overlay] *  ？？？没有找到$&^#%$@。。选择深度扫描显示为ASPack 2.x (without poly) -> Alexey Solodovnikov [Overlay] 哦。。!知道一些普了

OD载入：

00A6C000 >  60                PUSHAD                                           ; //壳的入口
00A6C001 E8 00000000       CALL TMPGEncM.00A6C006
00A6C006 5E                POP    ESI
00A6C007 83C6 09          ADD    ESI,9
00A6C00A E9 20170000       JMP    TMPGEncM.00A6D72F

来到00A6C001再看ESP=0012FFA4,好了用ESP定律下HR 0012FFA4 运行F9

00A6D906 68 0120A600       PUSH TMPGEncM.00A62001                         ; //断在这里
00A6D90B C3                RETN
00A6D90C 55                PUSH EBP

返回到 00A62001

00A62001 90                NOP                                              ; //返回到这里
00A62002 60                PUSHAD                                           ; //难道这个是第2个壳的入口
00A62003 E8 03000000       CALL TMPGEncM.00A6200B                         ; //F7跟进

====================================================================================

00A6200B 5D                POP    EBP                                        ; TMPGEncM.00A62008
00A6200C 45                INC    EBP
00A6200D 55                PUSH EBP
00A6200E C3                RETN

返回到 00A62009

00A62009 /EB 04             JMP    SHORT TMPGEncM.00A6200F
00A6200B |5D                POP    EBP
00A6200C |45                INC    EBP
00A6200D |55                PUSH EBP
00A6200E |C3                RETN
00A6200F \E8 01000000       CALL TMPGEncM.00A62015                         ; //跟进!!

跟进00A62015

00A62015 5D                POP    EBP                                        ; //来这里
00A62016 BB ECFFFFFF       MOV    EBX,-14
00A6201B 03DD             ADD    EBX,EBP
00A6201D 81EB 00206600    SUB    EBX,TMPGEncM.00662000
00A62023 83BD 22040000 00 CMP    DWORD PTR SS:[EBP+422],0
00A6202A 899D 22040000    MOV    DWORD PTR SS:[EBP+422],EBX
00A62030 0F85 65030000    JNZ    TMPGEncM.00A6239B
00A62036 8D85 2E040000    LEA    EAX,DWORD PTR SS:[EBP+42E]
00A6203C 50                PUSH EAX
00A6203D FF95 4C0F0000    CALL DWORD PTR SS:[EBP+F4C]
00A62043 8985 26040000    MOV    DWORD PTR SS:[EBP+426],EAX
00A62049 8BF8             MOV    EDI,EAX
00A6204B 8D5D 5E          LEA    EBX,DWORD PTR SS:[EBP+5E]
00A6204E 53                PUSH EBX
00A6204F 50                PUSH EAX
00A62050 FF95 480F0000    CALL DWORD PTR SS:[EBP+F48]
00A62056 8985 4C050000    MOV    DWORD PTR SS:[EBP+54C],EAX
00A6205C 8D5D 6B          LEA    EBX,DWORD PTR SS:[EBP+6B]
00A6205F 53                PUSH EBX
00A62060 57                PUSH EDI
00A62061 FF95 480F0000    CALL DWORD PTR SS:[EBP+F48]
00A62067 8985 50050000    MOV    DWORD PTR SS:[EBP+550],EAX
00A6206D 8D45 77          LEA    EAX,DWORD PTR SS:[EBP+77]
00A62070 FFE0             JMP    EAX                                        ; //F8过跳走一定要跳

跳来到这里00A6208B

00A6208B 8B9D 30050000    MOV    EBX,DWORD PTR SS:[EBP+530]
00A62091 0BDB             OR    EBX,EBX
00A62093 74 0A             JE    SHORT TMPGEncM.00A6209F
00A62095 8B03             MOV    EAX,DWORD PTR DS:[EBX]
00A62097 8785 34050000    XCHG DWORD PTR SS:[EBP+534],EAX
00A6209D 8903             MOV    DWORD PTR DS:[EBX],EAX
00A6209F 8DB5 68050000    LEA    ESI,DWORD PTR SS:[EBP+568]
00A620A5 833E 00          CMP    DWORD PTR DS:[ESI],0
00A620A8 0F84 21010000    JE    TMPGEncM.00A621CF
00A620AE 6A 04             PUSH 4
00A620B0 68 00100000       PUSH 1000
00A620B5 68 00180000       PUSH 1800
00A620BA 6A 00             PUSH 0
00A620BC FF95 4C050000    CALL DWORD PTR SS:[EBP+54C]
00A620C2 8985 56010000    MOV    DWORD PTR SS:[EBP+156],EAX
00A620C8 8B46 04          MOV    EAX,DWORD PTR DS:[ESI+4]
00A620CB 05 0E010000       ADD    EAX,10E
00A620D0 6A 04             PUSH 4
00A620D2 68 00100000       PUSH 1000
00A620D7 50                PUSH EAX
00A620D8 6A 00             PUSH 0
00A620DA FF95 4C050000    CALL DWORD PTR SS:[EBP+54C]
00A620E0 8985 52010000    MOV    DWORD PTR SS:[EBP+152],EAX
00A620E6 56                PUSH ESI
00A620E7 8B1E             MOV    EBX,DWORD PTR DS:[ESI]
00A620E9 039D 22040000    ADD    EBX,DWORD PTR SS:[EBP+422]
00A620EF FFB5 56010000    PUSH DWORD PTR SS:[EBP+156]
00A620F5 FF76 04          PUSH DWORD PTR DS:[ESI+4]
00A620F8 50                PUSH EAX
00A620F9 53                PUSH EBX
00A620FA E8 6D050000       CALL TMPGEncM.00A6266C
00A620FF B3 00             MOV    BL,0
00A62101 80FB 00          CMP    BL,0
00A62104 75 5E             JNZ    SHORT TMPGEncM.00A62164
00A62106 FE85 EC000000    INC    BYTE PTR SS:[EBP+EC]
00A6210C 8B3E             MOV    EDI,DWORD PTR DS:[ESI]
00A6210E 03BD 22040000    ADD    EDI,DWORD PTR SS:[EBP+422]
00A62114 FF37             PUSH DWORD PTR DS:[EDI]
00A62116 C607 C3          MOV    BYTE PTR DS:[EDI],0C3
00A62119 FFD7             CALL EDI
00A6211B 8F07             POP    DWORD PTR DS:[EDI]
00A6211D 50                PUSH EAX
00A6211E 51                PUSH ECX
00A6211F 56                PUSH ESI
00A62120 53                PUSH EBX
00A62121 8BC8             MOV    ECX,EAX
00A62123 83E9 06          SUB    ECX,6
00A62126 8BB5 52010000    MOV    ESI,DWORD PTR SS:[EBP+152]
00A6212C 33DB             XOR    EBX,EBX
00A6212E 0BC9             OR    ECX,ECX
00A62130 74 2E             JE    SHORT TMPGEncM.00A62160
00A62132 78 2C             JS    SHORT TMPGEncM.00A62160
00A62134 AC                LODS BYTE PTR DS:[ESI]
00A62135 3C E8             CMP    AL,0E8
00A62137 74 0A             JE    SHORT TMPGEncM.00A62143
00A62139 EB 00             JMP    SHORT TMPGEncM.00A6213B
00A6213B 3C E9             CMP    AL,0E9
00A6213D 74 04             JE    SHORT TMPGEncM.00A62143
00A6213F 43                INC    EBX
00A62140 49                DEC    ECX
00A62141  ^ EB EB             JMP    SHORT TMPGEncM.00A6212E                   ; //F4过
00A62143 8B06             MOV    EAX,DWORD PTR DS:[ESI]
00A62145 /EB 0A             JMP    SHORT TMPGEncM.00A62151
00A62147 |803E 00          CMP    BYTE PTR DS:[ESI],0
00A6214A  ^|75 F3             JNZ    SHORT TMPGEncM.00A6213F
00A6214C |24 00             AND    AL,0
00A6214E |C1C0 18          ROL    EAX,18
00A62151 \2BC3             SUB    EAX,EBX
00A62153 8906             MOV    DWORD PTR DS:[ESI],EAX
00A62155 83C3 05          ADD    EBX,5
00A62158 83C6 04          ADD    ESI,4
00A6215B 83E9 05          SUB    ECX,5
00A6215E  ^ EB CE             JMP    SHORT TMPGEncM.00A6212E                   ; //F4过
00A62160 5B                POP    EBX
00A62161 5E                POP    ESI
00A62162 59                POP    ECX
00A62163 58                POP    EAX
00A62164 EB 08             JMP    SHORT TMPGEncM.00A6216E                   ; //F8过跳走

====================================================================================

00A6216E 8BC8             MOV    ECX,EAX
00A62170 8B3E             MOV    EDI,DWORD PTR DS:[ESI]
00A62172 03BD 22040000    ADD    EDI,DWORD PTR SS:[EBP+422]
00A62178 8BB5 52010000    MOV    ESI,DWORD PTR SS:[EBP+152]
00A6217E C1F9 02          SAR    ECX,2
00A62181 F3:A5             REP    MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
00A62183 8BC8             MOV    ECX,EAX
00A62185 83E1 03          AND    ECX,3
00A62188 F3:A4             REP    MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
00A6218A 5E                POP    ESI
00A6218B 68 00800000       PUSH 8000
00A62190 6A 00             PUSH 0
00A62192 FFB5 52010000    PUSH DWORD PTR SS:[EBP+152]
00A62198 FF95 50050000    CALL DWORD PTR SS:[EBP+550]
00A6219E 83C6 08          ADD    ESI,8
00A621A1 833E 00          CMP    DWORD PTR DS:[ESI],0
00A621A4  ^ 0F85 1EFFFFFF    JNZ    TMPGEncM.00A620C8                         ; //F4过
00A621AA 68 00800000       PUSH 8000
00A621AF 6A 00             PUSH 0
00A621B1 FFB5 56010000    PUSH DWORD PTR SS:[EBP+156]
00A621B7 FF95 50050000    CALL DWORD PTR SS:[EBP+550]
00A621BD 8B9D 30050000    MOV    EBX,DWORD PTR SS:[EBP+530]
00A621C3 0BDB             OR    EBX,EBX
00A621C5 74 08             JE    SHORT TMPGEncM.00A621CF
00A621C7 8B03             MOV    EAX,DWORD PTR DS:[EBX]
00A621C9 8785 34050000    XCHG DWORD PTR SS:[EBP+534],EAX
00A621CF 8B95 22040000    MOV    EDX,DWORD PTR SS:[EBP+422]
00A621D5 8B85 2C050000    MOV    EAX,DWORD PTR SS:[EBP+52C]
00A621DB 2BD0             SUB    EDX,EAX
00A621DD 74 79             JE    SHORT TMPGEncM.00A62258                   ;//跳走

====================================================================================

00A62258 8B95 22040000    MOV    EDX,DWORD PTR SS:[EBP+422]
00A6225E 8BB5 40050000    MOV    ESI,DWORD PTR SS:[EBP+540]
00A62264 0BF6             OR    ESI,ESI
00A62266 74 11             JE    SHORT TMPGEncM.00A62279                   ; //跳走
00A62268 03F2             ADD    ESI,EDX
00A6226A AD                LODS DWORD PTR DS:[ESI]
00A6226B 0BC0             OR    EAX,EAX
00A6226D 74 0A             JE    SHORT TMPGEncM.00A62279
00A6226F 03C2             ADD    EAX,EDX
00A62271 8BF8             MOV    EDI,EAX
00A62273 66:AD             LODS WORD PTR DS:[ESI]
00A62275 66:AB             STOS WORD PTR ES:[EDI]
00A62277  ^ EB F1             JMP    SHORT TMPGEncM.00A6226A
00A62279 BE 00F04200       MOV    ESI,TMPGEncM.0042F000
00A6227E 8B95 22040000    MOV    EDX,DWORD PTR SS:[EBP+422]
00A62284 03F2             ADD    ESI,EDX
00A62286 8B46 0C          MOV    EAX,DWORD PTR DS:[ESI+C]
00A62289 85C0             TEST EAX,EAX
00A6228B 0F84 0A010000    JE    TMPGEncM.00A6239B
00A62291 03C2             ADD    EAX,EDX
00A62293 8BD8             MOV    EBX,EAX
00A62295 50                PUSH EAX
00A62296 FF95 4C0F0000    CALL DWORD PTR SS:[EBP+F4C]
00A6229C 85C0             TEST EAX,EAX
00A6229E 75 07             JNZ    SHORT TMPGEncM.00A622A7
00A622A0 53                PUSH EBX
00A622A1 FF95 500F0000    CALL DWORD PTR SS:[EBP+F50]
00A622A7 8985 44050000    MOV    DWORD PTR SS:[EBP+544],EAX
00A622AD C785 48050000 0000>MOV    DWORD PTR SS:[EBP+548],0
00A622B7 8B95 22040000    MOV    EDX,DWORD PTR SS:[EBP+422]
00A622BD 8B06             MOV    EAX,DWORD PTR DS:[ESI]
00A622BF 85C0             TEST EAX,EAX
00A622C1 75 03             JNZ    SHORT TMPGEncM.00A622C6
00A622C3 8B46 10          MOV    EAX,DWORD PTR DS:[ESI+10]
00A622C6 03C2             ADD    EAX,EDX
00A622C8 0385 48050000    ADD    EAX,DWORD PTR SS:[EBP+548]
00A622CE 8B18             MOV    EBX,DWORD PTR DS:[EAX]                   ; TMPGEncM.0042FB6E
00A622D0 8B7E 10          MOV    EDI,DWORD PTR DS:[ESI+10]
00A622D3 03FA             ADD    EDI,EDX
00A622D5 03BD 48050000    ADD    EDI,DWORD PTR SS:[EBP+548]
00A622DB 85DB             TEST EBX,EBX
00A622DD 0F84 A2000000    JE    TMPGEncM.00A62385
00A622E3 F7C3 00000080    TEST EBX,80000000
00A622E9 75 04             JNZ    SHORT TMPGEncM.00A622EF
00A622EB 03DA             ADD    EBX,EDX
00A622ED 43                INC    EBX
00A622EE 43                INC    EBX
00A622EF 53                PUSH EBX
00A622F0 81E3 FFFFFF7F    AND    EBX,7FFFFFFF
00A622F6 53                PUSH EBX
00A622F7 FFB5 44050000    PUSH DWORD PTR SS:[EBP+544]
00A622FD FF95 480F0000    CALL DWORD PTR SS:[EBP+F48]
00A62303 85C0             TEST EAX,EAX
00A62305 5B                POP    EBX
00A62306 75 6F             JNZ    SHORT TMPGEncM.00A62377                   ; //跳走

====================================================================================

00A62377 8907             MOV    DWORD PTR DS:[EDI],EAX                   ; ntdll.RtlDeleteCriticalSection
00A62379 8385 48050000 04 ADD    DWORD PTR SS:[EBP+548],4
00A62380  ^ E9 32FFFFFF       JMP    TMPGEncM.00A622B7                         ; //F4过
00A62385 8906             MOV    DWORD PTR DS:[ESI],EAX
00A62387 8946 0C          MOV    DWORD PTR DS:[ESI+C],EAX
00A6238A 8946 10          MOV    DWORD PTR DS:[ESI+10],EAX
00A6238D 83C6 14          ADD    ESI,14
00A62390 8B95 22040000    MOV    EDX,DWORD PTR SS:[EBP+422]
00A62396  ^ E9 EBFEFFFF       JMP    TMPGEncM.00A62286                         ; //F4过
00A6239B B8 8CAC3B00       MOV    EAX,3BAC8C
00A623A0 50                PUSH EAX
00A623A1 0385 22040000    ADD    EAX,DWORD PTR SS:[EBP+422]
00A623A7 59                POP    ECX
00A623A8 0BC9             OR    ECX,ECX
00A623AA 8985 A8030000    MOV    DWORD PTR SS:[EBP+3A8],EAX
00A623B0 61                POPAD                                              ; //好东西心里一阵抓狂!!^_^
00A623B1 /75 08             JNZ    SHORT TMPGEncM.00A623BB                   ; //跳走
00A623B3 B8 01000000       MOV    EAX,1
00A623B8 C2 0C00          RETN 0C
00A623BB 68 8CAC7B00       PUSH TMPGEncM.007BAC8C                         ; //来到这里
00A623C0 C3                RETN                                              ; //奔向小康生活哦!!

返回到 007BAC8C 这超巨大段跳跃肯定是返回到程序入口了!!

007BAC8C 55                PUSH EBP                                        ; 这个就是程序入口OEP
007BAC8D 8BEC             MOV    EBP,ESP
007BAC8F 83C4 EC          ADD    ESP,-14
007BAC92 53                PUSH EBX
007BAC93 56                PUSH ESI
007BAC94 57                PUSH EDI
007BAC95 33C0             XOR    EAX,EAX
007BAC97 8945 EC          MOV    DWORD PTR SS:[EBP-14],EAX

好了请出LordPE选到，选到TMPGEncM进程dump full吧。OK!!程序就这样转存了。再请出Import 修复，在OEP栏内输入003BAC8C，点击自动查找IAT、再点击获取输入表，最后修复刚才转存的文件就脱壳就大工告成了!!!

再用PEID查是Borland Delphi 6.0 - 7.0写的大小有6.44MB好大的主程序文件啊!运行看看，哦。有提示哦是这个文件大小不一明显是有自校验文件大小的!!

OD载入下断BP　SetFilePointer  F9运行断下了。。

7C810DA6 >  8BFF             MOV    EDI,EDI                                  ; //断在这里
7C810DA8 55                PUSH EBP
7C810DA9 8BEC             MOV    EBP,ESP
7C810DAB 83EC 28          SUB    ESP,28
7C810DAE 8B45 08          MOV    EAX,DWORD PTR SS:[EBP+8]
7C810DB1 25 03000010       AND    EAX,10000003
7C810DB6 83F8 03          CMP    EAX,3
7C810DB9 0F84 AABC0200    JE    kernel32.7C83CA69

再看看堆栈窗口代码如下：

0012FCE8 004934AB  /CALL 到 SetFilePointer 来自 TMPGEncM.004934A6             ; //反汇编跟随
0012FCEC 000000F0  |hFile = 000000F0
0012FCF0 00000000  |OffsetLo = 0
0012FCF4 0012FD08  |pOffsetHi = 0012FD08
0012FCF8 00000001  \Origin = FILE_CURRENT

取消断点BC　SetFilePointer 然后反汇编跟随004934A6

004934AB  |.  8945 F8       MOV    DWORD PTR SS:[EBP-8],EAX                   ;  //F4来这里，好让我们F8往下走吧!!
004934AE  |.  837D F8 FF    CMP    DWORD PTR SS:[EBP-8],-1
004934B2  |.  75 17          JNZ    SHORT TMPGEncM.004934CB
004934B4  |.  E8 3B3EF7FF    CALL <JMP.&kernel32.GetLastError>             ; [GetLastError
004934B9  |.  85C0          TEST EAX,EAX
004934BB  |.  74 0E          JE    SHORT TMPGEncM.004934CB
004934BD  |.  C745 F8 FFFFFFFF MOV    DWORD PTR SS:[EBP-8],-1
004934C4  |.  C745 FC FFFFFFFF MOV    DWORD PTR SS:[EBP-4],-1
004934CB  |>  8B45 F8       MOV    EAX,DWORD PTR SS:[EBP-8]
004934CE  |.  8B55 FC       MOV    EDX,DWORD PTR SS:[EBP-4]
004934D1  |.  5E             POP    ESI
004934D2  |.  5B             POP    EBX
004934D3  |.  59             POP    ECX
004934D4  |.  59             POP    ECX
004934D5  |.  5D             POP    EBP
004934D6  \.  C2 0800       RETN 8                                        ;  //到这里返回返回到 00492D95

5次Ctrl+F9返回到如下：

0074FDDA .  8A45 FF       MOV    AL,BYTE PTR SS:[EBP-1]
0074FDDD .  5F             POP    EDI
0074FDDE .  5E             POP    ESI
0074FDDF .  5B             POP    EBX
0074FDE0 .  8BE5          MOV    ESP,EBP
0074FDE2 .  5D             POP    EBP
0074FDE3 .  C3             RETN                                              ;  //5次Ctrl+F9来到这里，F8返回到 0074FF35

F8返回到 0074FF35

0074FF35  |.  84C0          TEST AL,AL                                     ;  //测试AL
0074FF37  |.  75 1A          JNZ    SHORT TMPGEncM.0074FF53                   ;  //这就是关键跳转了!!修改为JMP文件大小自校验就推失效了!
0074FF39  |.  8D55 F4       LEA    EDX,DWORD PTR SS:[EBP-C]
0074FF3C  |.  A1 FCE17C00    MOV    EAX,DWORD PTR DS:[7CE1FC]
0074FF41  |.  E8 626CCBFF    CALL TMPGEncM.00406BA8
0074FF46  |.  8B45 F4       MOV    EAX,DWORD PTR SS:[EBP-C]
0074FF49  |.  E8 0E51CEFF    CALL TMPGEncM.0043505C
0074FF4E  |.  E8 5946CBFF    CALL TMPGEncM.004045AC
0074FF53  |>  33C0          XOR    EAX,EAX
0074FF55  |.  5A             POP    EDX
0074FF56  |.  59             POP    ECX
0074FF57  |.  59             POP    ECX
0074FF58  |.  64:8910       MOV    DWORD PTR FS:[EAX],EDX
0074FF5B  |.  68 7DFF7400    PUSH TMPGEncM.0074FF7D
0074FF60  |>  8D45 F4       LEA    EAX,DWORD PTR SS:[EBP-C]
0074FF63  |.  BA 02000000    MOV    EDX,2
0074FF68  |.  E8 DF47CBFF    CALL TMPGEncM.0040474C
0074FF6D  |.  8D45 FC       LEA    EAX,DWORD PTR SS:[EBP-4]
0074FF70  |.  E8 EB4ECBFF    CALL TMPGEncM.00404E60
0074FF75  \.  C3             RETN

再往上看来这里!!

0074FEFC  /$  55             PUSH EBP
0074FEFD  |.  8BEC          MOV    EBP,ESP
0074FEFF  |.  6A 00          PUSH 0
0074FF01  |.  6A 00          PUSH 0
0074FF03  |.  6A 00          PUSH 0
0074FF05  |.  33C0          XOR    EAX,EAX
0074FF07  |.  55             PUSH EBP
0074FF08  |.  68 76FF7400    PUSH TMPGEncM.0074FF76
0074FF0D  |.  64:FF30       PUSH DWORD PTR FS:[EAX]
0074FF10  |.  64:8920       MOV    DWORD PTR FS:[EAX],ESP
0074FF13  |.  8D55 F8       LEA    EDX,DWORD PTR SS:[EBP-8]
0074FF16  |.  A1 F4E47C00    MOV    EAX,DWORD PTR DS:[7CE4F4]
0074FF1B  |.  8B00          MOV    EAX,DWORD PTR DS:[EAX]
0074FF1D  |.  E8 4247D3FF    CALL TMPGEncM.00484664                         ;  //取主程序的路径
0074FF22  |.  8B55 F8       MOV    EDX,DWORD PTR SS:[EBP-8]
0074FF25  |.  8D45 FC       LEA    EAX,DWORD PTR SS:[EBP-4]
0074FF28  |.  E8 1751CBFF    CALL TMPGEncM.00405044                         ;  //取主程序的路径
0074FF2D  |.  8B45 FC       MOV    EAX,DWORD PTR SS:[EBP-4]
0074FF30  |.  E8 87FAFFFF    CALL TMPGEncM.0074F9BC                         ;  //这个就是文件大自校验的关键CALL了，有兴趣的朋友不妨跟进分析一下!在这里我就不追了我的目的已达到了!

保存后运行，OK了。这到这里!!脱壳和文件大小自校验就搞定了!我在分析文件大小自校验时走了不少冤枉弯路思路一下就乱来套了!!!这个软件有一地方就是会检测很多我们调试用的工具这个就有点好奇了!!唯独不见检测我们常用的调试器OD哦。!!奇怪哦!!

可以看到检测的调试器和注册表监时工具有NTICE、TRW(国人的骄傲小日本也怕了)、FileMon(Crack好助手)、RegMon(Crack好助手)、PIPE、SICE(大名顶顶调试器)。

接下来就是分析注册码流程了!。。我只是粗看了一下没有时间跟了要出去办工作了。。。查看了一些有好几种算法哦有时间再跟一下。。!不知道有那位大侠有时间接着分析呢。。在此先感谢了!!

fcrjzmd

22:03 2006-2-15

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・7

支持

最新回复 (4)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼学习 2006-2-15 22:08 0
koala 雪币： 222 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 178 粉丝 0 关注私信	koala 3 3 楼 have a look 2006-2-15 23:24 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼有时间去看看TMPGEnc Plus V3.X 的自校验 2006-2-16 09:22 0
Penitix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	Penitix 5 楼没太看懂再瞧瞧 2006-2-16 10:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fcrjzmd

发帖

105

回帖

410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼学习 2006-2-15 22:08 0
koala 雪币： 222 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 178 粉丝 0 关注私信	koala 3 3 楼 have a look 2006-2-15 23:24 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼有时间去看看TMPGEnc Plus V3.X 的自校验 2006-2-16 09:22 0
Penitix 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	Penitix 5 楼没太看懂再瞧瞧 2006-2-16 10:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复