-
-
[原创](补)看雪CTF2016--17题的破文
-
发表于: 2016-12-7 23:37
-
这个CM,主要防御手段是在反调试,主要手段是检查父进程是否是桌面
40280c改为jmp
402590改ret,即把这个线程函数ret掉
402c6c改为jmp
主程序的反调试就没有了
dll中也藏了反调试
偏移7A3c改为jmp
偏移7440 push ebp 改为ret
这样程序的反调试就没有了,可以愉快玩耍了,验证函数比较简单主要是奇偶位区别对比,我在附件中附上了cpp编译就可跑出结果
这里是最终验证函数,传入unicode的输入字符串,偏移是7B97
40280c改为jmp
402590改ret,即把这个线程函数ret掉
402c6c改为jmp
主程序的反调试就没有了
dll中也藏了反调试
偏移7A3c改为jmp
偏移7440 push ebp 改为ret
这样程序的反调试就没有了,可以愉快玩耍了,验证函数比较简单主要是奇偶位区别对比,我在附件中附上了cpp编译就可跑出结果
这里是最终验证函数,传入unicode的输入字符串,偏移是7B97
|
|
|---|---|
